Abbiamo parlato recentemente di attack kill chain e lateral movement (Yooda | Blog | Attack Kill Chain); oggi vogliamo mostrare una tecnica chiamata “pass the hash”, utilizzata per conquistare ulteriori posizioni nell’ambiente di un cliente, dopo la compromissione di una prima workstation.
Il presupposto è una sorta di loose administration: l’amministratore di sistema e il CISO non prendono tutte le precauzioni necessarie, nè utilizzano le risorse che sono disponibili nativamente in Windows 10: stiamo pensando specificatamente a Microsoft Defender for Identity e Virtualization Based Security che introdurrebbero ulteriori layer di protezione non facilmente bypassabili da un attaccante (Credential Guard) o sarebbero in grado di mitigare la situazione grazie ad alert e view in tempo reale (Microsoft Defender for Identity).
La situazione migliora con Windows 11, che nasce con un forte approccio alla sicurezza, ma di questo parleremo un’altra volta.
Nel video mostriamo come sia possibile, una volta compromessa una prima workstation, fare privilege escalation tramite una tecnica chiamata “pass the hash”.
Riassumo di seguito gli steps necessari, buona visione!
- Compromissione di una workstation; questa parte non viene mostrata. Immaginiamo che la compromissione possa avvenire sfruttando uno Zero Day (Attack Surface Reduction sarebbe importante per mitigare questi tipi di attacco)
- Reconnaissance, ad esempio tramite query SAM-R per individuare gli utenti del dominio, i gruppi sensibili ed i relativi membri, etc.
- Utilizzo di Mimikatz per ottenere ulteriori credenziali (ricordate le derived credentials contenute in LSASS?)
- sekurlsa::logonpasswords
- utilizzo delle credenziali così ottenute in un attacco PTH
- sekurlsa::pth /user:admin /domain:MyDomain /ntlm:528ecw3f7dr03655g8d45f0035ak42
Don't stop there, read more
Defender for Cloud Apps: funzionalità e casi d’uso
Defender for Cloud Apps, ovvero cos’è? a cosa mi serve? come può aiutarmi a rafforzare la security posture in azienda? Emiliano Iacomino e Pacho Baratta hanno provato a spiegare ed a rispondere ad alcune domande relative alle principali features del prodotto. Dalla Shadow IT, alla files governance e protezione dell’accesso, passando per la protezione del […]
Defender for Cloud Apps: Files Governance
Hai tanti file sul cloud Microsoft o su cloud di terze parti? Ti spieghiamo come fare files governance grazie a Defender for Cloud Apps.
Defender for Cloud Apps: Session Policies
Le Session Policies sono uno degli strumenti più potenti per gestire la sicurezza in azienda, permettendo nel contempo la massima flessibilità e semplicità.
Enter the digital universe
With Yooda you can lead your company towards a new mindset that will change everyone's experience for the better and generate new value for you.