Elke keer dat u zich wilt aanmelden bij een systeem uw inloggegevens invoeren, kan vermoeiend zijn, vooral wanneer u regelmatig inlogt op het systeem. U kunt zelfs uw wachtwoorden vergeten.
Door besturingssystemen te implementeren die gebruikers een eenmalige aanmelding bieden, hoeft u niet elke keer uw inloggegevens opnieuw in te voeren. Maar er is een probleem mee. Aanvallers kunnen uw in het systeem opgeslagen inloggegevens misbruiken via een Pass-the-Hash-aanval (PtH).
Hier bespreken we hoe een Pass-the-Hash-aanval werkt en hoe u deze kunt verminderen.
Wat is een Pass the Hash Attack?
Hashing is het proces van het vertalen van tekenreeksen in een code, waardoor het veel korter en gemakkelijker wordt. Het is een van de grote spelers op het gebied van cyberbeveiliging die van cruciaal belang is om datalekken te voorkomen.
Beheerders van webtoepassingen versleutel bestanden en berichten om onbevoegde toegang tot deze te voorkomen. Hoewel deze bestanden vertrouwelijk worden behandeld, helpt hashing om hun integriteit te verifiëren. Het voorkomt dat iemand de bestanden corrumpeert of hun inhoud wijzigt en ze vervolgens presenteert als de originele bestanden.
Een hash kan na vertaling niet worden teruggedraaid. Het stelt u alleen in staat om te detecteren of twee bestanden vergelijkbaar zijn of niet zonder de inhoud ervan vast te stellen. Voordat u toegang krijgt tot een systeem of service via het netwerk, moet u zich verifiëren door uw gebruikersnaam en wachtwoord te presenteren. Nu wordt deze informatie in de database opgeslagen voor toekomstige vergelijking wanneer u opnieuw probeert in te loggen.
Uw wachtwoorden zijn in leesbare tekst, waardoor ze minder veilig zijn. En als een aanvaller toegang heeft tot de database, kunnen ze uw wachtwoord stelen en ongeautoriseerde toegang krijgen tot uw account. De situatie wordt nog erger als u een van die gebruikers bent die één wachtwoord voor verschillende accounts gebruikt. De aanvaller zal het gestolen wachtwoord gebruiken om toegang te krijgen tot uw andere accounts.
Dus, hoe komt de hasj hier in het spel?
Het hash-mechanisme zet uw wachtwoord in leesbare tekst om in gegevens die niet kunnen worden teruggezet naar het oorspronkelijke wachtwoord. Nadat uw wachtwoord is gehasht en in het systeemgeheugen is opgeslagen, wordt het gebruikt om uw identiteit te bewijzen de volgende keer dat u toegang wilt tot een dienst.
De hash beschermt de accounts van gebruikers tegen ongeautoriseerde toegang. Maar niet zolang cybercriminelen een strategie hebben bedacht om de hasj te oogsten. Het beveiligingslek dat is gedetecteerd in de single sign-on (SSO) heeft plaatsgemaakt voor de Pass-the-Hash-aanval. Het verscheen voor het eerst in 1997 en bestaat al 24 jaar.
Een Pass-the-Hash-aanval is vergelijkbaar met de trucs-aanvallers gebruiken om gebruikerswachtwoorden te stelen. Het is een van de meest voorkomende maar onderschatte aanvallen als het gaat om diefstal en gebruik van gebruikersgegevens.
Met de Pass-the-Hash-techniek hoeven aanvallers de hasj niet te kraken. Het kan opnieuw worden gebruikt of worden doorgegeven aan een verificatieserver. Wachtwoord-hashes blijven statisch van sessie tot sessie totdat ze worden gewijzigd. Om deze reden gaan aanvallers achter de authenticatieprotocollen van besturingssystemen aan om de gehashte wachtwoorden te stelen.
Hoe werkt een Pass the Hash Attack?
Pass-the-Hash-aanvallen komen het meest voor op Windows-systemen, hoewel ze ook op andere besturingssystemen zoals Linux en UNIX kunnen plaatsvinden. Hackers zoeken altijd naar mazen in deze systemen om bij hun slachtoffers te komen.
De kwetsbaarheid van Windows ligt in de NTLM-authenticatie, die een single sign-on (SSO)-functie implementeert. Hiermee kunnen gebruikers hun wachtwoord één keer invoeren en toegang krijgen tot elke gewenste functie.
Dit is hoe het werkt:
Wanneer u zich voor de eerste keer op een Windows-systeem aanmeldt, wordt uw wachtwoord gehasht en opgeslagen in het systeemgeheugen. Dit is een opening voor aanvallers om uw gehashte wachtwoord te misbruiken. Ze kunnen fysieke toegang krijgen tot uw systeem, het actieve geheugen verwijderen of het infecteren met malware en andere technieken.
Tools zoals Metasploit, Gsecdump en Mimikatz worden gebruikt om de gehashte referenties uit het systeemgeheugen te extraheren. Na dat gedaan te hebben, hergebruiken aanvallers uw inloggegevens om in te loggen als u en toegang te krijgen tot elke applicatie waarvoor u rechten heeft.
Als een vriend of collega is ingelogd op je systeem, kan de hacker evengoed hun hash oogsten. Onthoud dat het een laterale bewegingstechniek is. Een worstcasescenario is dat een hacker toegang krijgt tot controlesystemen die een hele organisatie of IT-infrastructuur runnen. Eenmaal binnen kunnen ze gevoelige informatie stelen, records wijzigen of malware installeren.
Hoe een pass the hash-aanval te verminderen?
Hier is iets dat u moet weten over de Pass-the-Hash-aanval. Het is geen bug maar een feature. Het protocol voor eenmalige aanmelding dat met een hash is geïmplementeerd, is bedoeld om gebruikers de moeite te besparen hun wachtwoord opnieuw in te voeren. Dus hackers profiteren nu van de Windows SSO-functie, het communicatieprotocol van Linux- en Unix-systemen voor kwaadaardige bedoelingen.
U kunt uw kansen om het slachtoffer te worden van dergelijke aanvallen verkleinen door deze effectieve oplossingen te volgen.
1. Windows Defender-referentiebewaking inschakelen
De Windows Defender Credential Guard is een beveiligingsfunctie die wordt geleverd met Windows 10-systemen en hoger. Het beveiligt gevoelige informatie die op het systeem is opgeslagen. De Local Security Authority Subsystem Service (LSASS) handhaaft het beveiligingsbeleid op het Windows-systeem.
2. Implementeer het Least Privilege-beveiligingsmodel
Hier is het ding: als u een bedrijfseigenaar bent en mensen voor u werken, beperk dan hun toegangsrechten tot alleen bronnen en bestanden die nodig zijn om hun werk in het netwerksysteem uit te voeren.
Elimineer onnodige beheerdersrechten en verleen alleen privileges aan vertrouwde applicaties. Dit vermindert het vermogen van een hacker om zijn toegang en toestemming uit te breiden.
3. Herstart systemen na uitloggen
Onthoud dat het doel is om het risico om slachtoffer te worden van een Pass-the-Hash-aanval te minimaliseren. Aangezien het systeem de wachtwoordhash in zijn geheugen opslaat, zal het herstarten van uw computer na het uitloggen de hash uit het systeemgeheugen verwijderen.
4. Installeer anti-malwaresoftware
Cybercriminelen doen uitstekend werk door malware te gebruiken om netwerken te compromitteren. Geautomatiseerde tools zoals anti-malwaresoftware zijn handig om bescherming te bieden tegen deze cyberaanvallen. Deze tools detecteren geïnfecteerde of kwaadaardige bestanden in uw systeem en neutraliseren ze voordat ze toeslaan.
Wanneer u anti-malwaresoftware op uw apparaten installeert, beveiligt u uw systeem tegen malware. U kunt ook malware-as-a-service-platforms gebruiken om op maat gemaakte malware-oplossingen.
5. Update uw besturingssystemen
Waarom vasthouden aan een oudere versie van een besturingssysteem met minder beveiliging als u deze kunt bijwerken?
De nieuwste besturingssystemen bieden meestal een veel betere gebruikerservaring en hebben een robuustere verdediging. Windows 10 versie 1703 heeft bijvoorbeeld meerdere beveiligingsfuncties die gebruikers over netwerken beschermen.
Pas een effectieve aanpak toe om de hash-aanval te passeren
Pass-the-Hash-aanvallen zijn altijd van invloed op besturingssystemen die een eenmalige aanmelding ondersteunen. Terwijl de hash-functie je wachtwoord probeert te beschermen, omzeilen aanvallen de beveiliging om de gehashte wachtwoorden te stelen met verschillende tools.
Neem de verantwoordelijkheid voor het beschermen van uw inloggegevens door te upgraden naar de nieuwste besturingssystemen, machtigingen verlenen aan alleen vertrouwde applicaties en antimalwaresoftware installeren op uw computer. Cybercriminelen kunnen de hash alleen passeren als er een snelweg voor hen is. Het is uw verantwoordelijkheid om alle mazen in uw netwerk te dichten.
In tegenstelling tot de meeste malware, vliegt Emotet onder de radar en werkt in stilte om slachtoffers te lokken. Lees hoe het werkt en wat u kunt doen om uzelf te beschermen.
Lees volgende
- Beveiliging
- Cyberbeveiliging
- Computer beveiliging
Chris Odogwu zet zich in voor het overdragen van kennis door middel van zijn schrijven. Hij is een gepassioneerd schrijver en staat open voor samenwerkingen, netwerken en andere zakelijke kansen. Hij heeft een master in massacommunicatie (afstudeerrichting public relations en reclame) en een bachelor in massacommunicatie.
Abonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Klik hier om je te abonneren