Qu’est-ce qu’une attaque pass-the-hash ?

Dans le vaste domaine des menaces cybernétiques, les attaques “pass-the-hash” sont une exploitation particulièrement furtive qui peut rendre les organisations vulnérables à l’accès non autorisé et aux violations de données.

Pass-the-hash est un type d’attaque qui profite de la manière dont les mots de passe sont couramment stockés, sous forme de représentations cryptographiques connues sous le nom de hachages, pour pénétrer dans des systèmes sécurisés sans avoir besoin du mot de passe réel.

Une attaque pass-the-hash (PtH) se produit lorsqu’un attaquant capture les identifiants de connexion d’un compte, spécifiquement les valeurs de hachage plutôt que les mots de passe en texte clair, à partir d’un appareil, et utilise ces valeurs de hachage capturées pour s’authentifier sur d’autres appareils ou services au sein d’un réseau.

Cette technique contourne les étapes d’authentification standard qui nécessitent normalement le mot de passe original d’un utilisateur, permettant aux attaquants de pénétrer de manière transparente comme s’ils étaient des utilisateurs légitimes.

Pour comprendre la nature de ces cyberattaques, définissons un hachage de mot de passe. Un hachage de mot de passe consiste à transformer votre mot de passe standard en une chaîne de caractères indéchiffrable. Pensez à transformer “motdepasse123” en quelque chose comme “5f4dcc3b5aa765d61d832”.

Lorsque vous saisissez vos identifiants sur la plupart des plateformes sécurisées, cette version cryptée (le hachage) est vérifiée par rapport à ce qui est stocké dans les bases de données de sécurité du système. Et voici le génie et la vulnérabilité : le hachage ajoute de la sécurité en obscurcissant les mots de passe en texte clair lors du stockage et de la transmission. Mais si quelqu’un obtient les hachages de mots de passe, il détient des clés capables de déverrouiller des portes sur tout le réseau.

Les attaques pass-the-hash se déroulent en plusieurs étapes, chacune soigneusement conçue pour éviter la détection et exploiter les vulnérabilités du système. Dans un premier temps, les attaquants doivent obtenir les valeurs de hachage d’un utilisateur. Typiquement, ils accèdent à ces informations par des moyens divers, tels que des campagnes de phishing, des infections par des malwares ou l’exploitation de vulnérabilités existantes dans le réseau.

Une fois que l’attaquant a obtenu ces hachages—considérés comme des empreintes digitales des mots de passe des utilisateurs—il utilise ces données contre des systèmes qui utilisent des mécanismes de connexion unique (SSO) ou ceux ayant des processus d’authentification moins stricts. Contrairement aux attaques par brute force, qui essaient sans fin des mots de passe jusqu’à ce qu’un correspond, les attaques pass-the-hash soumettent directement le hachage capturé au lieu de tenter de déchiffrer le mot de passe.

Le système compromis vérifie généralement le hachage soumis par rapport à celui stocké dans ses bases de données—s’ils correspondent, l’accès est accordé comme si un mot de passe légitime avait été fourni. À ce stade de l’attaque, les intrus peuvent librement accéder aux zones sensibles du réseau sous l’apparence d’utilisateurs de confiance.

Munis de cet accès, les cybercriminels peuvent effectuer des mouvements latéraux à travers le réseau, à la recherche de comptes privilégiés pour une infiltration plus profonde. Ils peuvent aussi procéder à l’exfiltration de données sans déclencher d’alarme immédiate, car toutes les actions semblent être exécutées par des identifiants reconnus au sein de l’organisation.

Les attaques pass-the-hash représentent une menace grandissante dans le paysage de la cybersécurité. À mesure que les attaquants affinent leurs techniques et s’adaptent aux nouveaux environnements de travail, ces types d’exploits deviennent de plus en plus fréquents.

• Augmentation du travail à distance : Le recours croissant au télétravail pousse de nombreuses organisations à utiliser des technologies de connexion unique (SSO) pour un accès fluide aux services et applications. Ce contexte favorise les attaques pass-the-hash, car un jeu d’identifiants compromis peut ouvrir de nombreuses portes au sein du réseau d’une entreprise.
• Prévalence du protocole NTLM : Ces attaques ciblent souvent le protocole NT LAN Manager (NTLM) utilisé dans les réseaux Windows, une technologie encore largement déployée malgré ses vulnérabilités. Étant donné que de nombreuses entreprises fonctionnent sur des systèmes Windows, elles deviennent des cibles privilégiées.
• Mouvements latéraux et élévation de privilèges : En utilisant des hachages capturés pour s’authentifier ailleurs sur le réseau, les attaquants peuvent se déplacer discrètement d’un point à un autre, obtenant des privilèges accrus en cours de route. Ces tactiques peuvent aboutir au compromis d’infrastructures critiques comme les contrôleurs de domaine.
• Coûts opérationnels et pertes financières : Les entreprises victimes d’attaques pass-the-hash subissent non seulement des violations de données mais aussi des pertes financières directes, causées par l’interruption des opérations et les ressources mobilisées pour la réponse aux incidents.
• Complexité de l’atténuation : Se protéger contre ces attaques nécessite de résoudre des problèmes sous-jacents, ce qui peut inclure la mise en place d’audits approfondis, le patch management, et une meilleure formation des utilisateurs, le tout s’inscrivant dans une lutte plus large contre l’usurpation d’identité et l’incursion de logiciels malveillants, compliquant ainsi les stratégies de défense plus que ne le nécessiteraient des menaces plus simples.
• Exploitation des mécanismes de connexion unique (SSO) : Les attaquants tirent parti des protocoles d’authentification comme LM ou Kerberos utilisés par les réseaux Windows. Une fois en possession de hachages valides, ces identifiants restent utilisables tant que les mots de passe ne sont pas changés, ce qui peut ne pas se produire assez fréquemment.
• Impact étendu : L’ampleur des dégâts dépend du niveau de privilèges des comptes compromis. Une attaque peut aller du simple vol de données au contrôle total des systèmes d’une organisation.
• Difficulté de détection : Les attaques pass-the-hash exploitent les processus d’authentification légitimes des systèmes, ce qui leur permet de se camoufler dans le trafic normal. En conséquence, elles échappent aux mécanismes de détection classiques, exposant les organisations à des menaces silencieuses jusqu’à ce qu’il soit trop tard.

Compte tenu de ces facteurs, il est évident que les attaques pass-the-hash constituent une menace croissante. Elles exploitent des failles fondamentales dans les protocoles d’authentification couramment utilisés, entraînant des impacts financiers et opérationnels significatifs, difficiles à détecter et à contenir.

Pour éviter les attaques pass-the-hash, les organisations doivent adopter une approche de cybersécurité multicouche.

Voici plusieurs stratégies efficaces pour prévenir ces intrusions :

1. Utiliser des politiques de mot de passe avancées : Mettre en place des exigences de mot de passe complexe et encourager des changements fréquents peut limiter l’utilité des hachages capturés. De plus, le déploiement de l’authentification multifacteur (MFA) ajoute une couche de sécurité supplémentaire au-delà des mots de passe. Envisagez d’utiliser un générateur de mots de passe pour créer des mots de passe forts et sécurisés.
2. Restreindre et surveiller l’utilisation des comptes privilégiés : Minimiser le nombre d’utilisateurs disposant de privilèges élevés et surveiller étroitement leur activité. S’assurer que les comptes administrateurs ne sont utilisés que lorsque c’est nécessaire et employer des comptes utilisateur standards pour les opérations quotidiennes. Ces mesures soulignent l’importance d’un système de gestion des accès privilégiés.
3. Appliquer le principe du moindre privilège : Chaque utilisateur ne devrait disposer que du niveau d’accès minimum requis pour accomplir ses tâches, sans plus. Ces mesures de sécurité zéro confiance limitent les dommages potentiels en cas de compromission des identifiants, car les attaquants auraient un accès initial réduit au réseau.
4. Mettre en œuvre des mesures de sécurité des terminaux : Équiper les appareils de logiciels antivirus à jour et de systèmes de détection d’intrusion capables d’alerter en cas d’activités suspectes indiquant une capture de hachage ou d’autres attaques en cours.
5. Segmentation du réseau : Diviser le réseau en segments plus petits pour contenir toute violation dans des zones isolées, limitant ainsi les possibilités de déplacement latéral pour les attaquants qui parviennent à infiltrer un segment.
6. Gestion des correctifs : Mettre régulièrement à jour tous les systèmes avec les derniers correctifs des fournisseurs, qui incluent souvent des corrections de vulnérabilités pouvant être exploitées par les attaques pass-the-hash.
7. Désactiver les protocoles d’authentification obsolètes : Lorsque c’est possible, abandonner les protocoles d’authentification plus anciens et moins sécurisés, tels que NTLM, au profit d’alternatives plus sûres comme Kerberos. En outre, envisagez de désactiver complètement le stockage des valeurs de hachage LM sur les systèmes Windows, car les versions récentes n’en ont pas besoin et elles représentent un risque inutile.
8. Exploiter Windows Credential Guard : Les organisations utilisant des environnements Windows modernes devraient tirer parti de Credential Guard, qui utilise la sécurité basée sur la virtualisation pour protéger les dérivés d’identifiants comme les hachages, rendant leur extraction et leur utilisation dans les attaques pass-the-hash beaucoup plus difficiles.
9. Sensibiliser les employés aux attaques d’ingénierie sociale : Puisque les tactiques d’ingénierie sociale sont souvent le point de départ des attaques pass-the-hash via des méthodes comme le phishing, il est crucial de former les employés à reconnaître ces menaces. Une sensibilisation accrue peut considérablement réduire le risque que des informations sensibles soient divulguées ou compromises par des moyens frauduleux.

En mettant en œuvre ces stratégies préventives avec rigueur et en les affinant continuellement, une organisation peut renforcer ses défenses contre les cybermenaces complexes telles que les attaques pass-the-hash.

Établir des politiques de mots de passe robustes, minimiser la prolifération des privilèges, sécuriser les terminaux contre les tentatives d’intrusion tout en formant les employés aux dangers de l’ingénierie sociale sont les piliers d’une posture de cybersécurité résiliente, garantissant l’intégrité opérationnelle et la protection des actifs numériques face à un paysage de menaces en constante évolution.

Proofpoint aide à prévenir les attaques pass-the-hash grâce à sa suite complète d’outils et de solutions conçus pour détecter, prévenir et répondre à ces menaces.

La plateforme Identity Threat Detection & Response de Proofpoint repose sur deux composants principaux permettant de protéger continuellement les organisations contre les attaques pass-the-hash :

• Proofpoint Shadow : Cet outil permet d’arrêter les attaquants avant qu’ils ne causent des dommages en détectant et en répondant aux tentatives d’attaques pass-the-hash.
• Targeted Attack Protection (TAP) : La solution TAP de Proofpoint détecte les comportements malveillants, comme le vol d’identifiants, une technique courante dans les attaques pass-the-hash. TAP utilise des algorithmes d’apprentissage automatique et des renseignements sur les menaces pour identifier les activités suspectes et offrir une protection robuste contre ces attaques.

En complément de ces outils, les solutions de protection des emails de Proofpoint offrent une défense efficace contre le phishing, une méthode fréquemment exploitée par les attaquants pour récolter des identifiants et mener des attaques pass-the-hash.

En s’appuyant sur des technologies avancées et une expertise en cybersécurité, Proofpoint aide les organisations à sécuriser leurs réseaux contre les acteurs malveillants cherchant à effectuer des mouvements latéraux, y compris via les attaques pass-the-hash.

De plus, la fonctionnalité URL Defense de Proofpoint protège les utilisateurs contre les liens malveillants utilisés dans les campagnes de phishing visant à voler des identifiants pour les attaques pass-the-hash. Cette fonctionnalité adopte une approche en deux étapes afin d’assurer une protection maximale contre le vol d’identifiants et d’autres activités malveillantes.

Dans l’ensemble, Proofpoint propose une gamme complète de solutions et de fonctionnalités qui répondent aux différentes techniques et stratégies utilisées dans les attaques pass-the-hash, offrant ainsi aux organisations une défense renforcée contre ces menaces. Pour en savoir plus sur la manière de protéger votre organisation contre ces attaques, contactez Proofpoint.