Pass the hash in Windows 10

Abbiamo parlato recentemente di attack kill chain e lateral movement (Yooda | Blog | Attack Kill Chain); oggi vogliamo mostrare una tecnica chiamata “pass the hash”, utilizzata per conquistare ulteriori posizioni nell’ambiente di un cliente, dopo la compromissione di una prima workstation.

Il presupposto è una sorta di loose administration: l’amministratore di sistema e il CISO non prendono tutte le precauzioni necessarie, nè utilizzano le risorse che sono disponibili nativamente in Windows 10: stiamo pensando specificatamente a Microsoft Defender for Identity e Virtualization Based Security che introdurrebbero ulteriori layer di protezione non facilmente bypassabili da un attaccante (Credential Guard) o sarebbero in grado di mitigare la situazione grazie ad alert e view in tempo reale (Microsoft Defender for Identity).

La situazione migliora con Windows 11, che nasce con un forte approccio alla sicurezza, ma di questo parleremo un’altra volta.

Nel video mostriamo come sia possibile, una volta compromessa una prima workstation, fare privilege escalation tramite una tecnica chiamata “pass the hash”.

Riassumo di seguito gli steps necessari, buona visione!

1. Compromissione di una workstation; questa parte non viene mostrata. Immaginiamo che la compromissione possa avvenire sfruttando uno Zero Day (Attack Surface Reduction sarebbe importante per mitigare questi tipi di attacco)
2. Reconnaissance, ad esempio tramite query SAM-R per individuare gli utenti del dominio, i gruppi sensibili ed i relativi membri, etc.
3. Utilizzo di Mimikatz per ottenere ulteriori credenziali (ricordate le derived credentials contenute in LSASS?)
   • sekurlsa::logonpasswords
4. utilizzo delle credenziali così ottenute in un attacco PTH
   • sekurlsa::pth /user:admin /domain:MyDomain /ntlm:528ecw3f7dr03655g8d45f0035ak42