Wat is een Pass-the-Hash (PtH)-aanval?
Een Pass-the-Hash-aanval is een soort cyberaanval waarbij een wachtwoordhash wordt gestolen van beheerders en gebruikt om onbevoegde toegang tot een netwerk te krijgen. Met zo'n aanval is het niet nodig om een wachtwoord te stelen of kraken omdat er alleen een wachtwoordhash nodig is om toegang binnen een netwerk en de systemen te escaleren.
Wat is een wachtwoordhash?
Om te begrijpen hoe een Pass-the-Hash-aanval werkt, moet u weten wat een wachtwoordhash precies is. Een wachtwoordhash is een eenrichtingsalgoritme dat een wachtwoord dat bestaat uit platte tekst omvormt tot een willekeurige reeks met letters en cijfers, die niet kan worden hersteld of ontcijferd om het daadwerkelijke wachtwoord te onthullen.
Met wachtwoordhashing kunt u de beveiliging verbeteren door de opslag van wachtwoorden in platte tekst op een server te elimineren. Met wachtwoordhashing kent alleen de eindgebruiker de wachtwoorden in platte tekst.
Hoe werken Pass-the-Hash-aanvallen?
Pass-the-Hash-aanvallen beginnen wanneer een cybercrimineel de machine van een beheerder compromitteert. Dit wordt vaak gedaan door de machine te infecteren met malware via social engineering-technieken. Zo kan er bijvoorbeeld naar een beheerder een phishing-e-mail worden gestuurd, waarbij deze wordt aangemoedigd om op een bijlage of link te klikken. Als de beheerder dan op de link of bijlage klikt, kan er direct malware worden gedownload zonder dat ze dat weten.
Zodra de malware wordt geïnstalleerd op de machine van de beheerder, verzamelt de cybercrimineel wachtwoordhashes die op de machine zijn opgeslagen. Met maar één wachtwoordhash die bij een geprivilegieerd gebruikersaccount hoort, kunnen cybercriminelen het netwerk of het authenticatieprotocol van het netwerk omzeilen. Zodra een cybercrimineel authenticatie omzeilt, heeft deze toegang tot vertrouwelijke informatie en kan zich zijwaarts binnen een netwerk bewegen om toegang te krijgen tot andere geprivilegieerde accounts.
Wie is het meest kwetsbaar voor Pass-the-Hash-aanvallen?
Windows-machines zijn het meest bevattelijk voor Pass-the-Hash-aanvallen vanwege een kwetsbaarheid in Windows New Technology Local Area Network Manager (NTLM)-hashes. NTLM is een set beveiligingsprotocollen die wordt aangeboden door Microsoft en functioneert als een Single Sign-On (SSO)-oplossing, waar veel organisaties gebruik van maken.
Door deze NTLM-kwetsbaarheid kunnen criminelen gecompromitteerde domeinaccounts gebruiken via maar één wachtwoordhash, zonder dat ze ooit het daadwerkelijke wachtwoord nodig hebben.
Zo kunt u Pass-the-Hash-aanvallen beperken
Investeer in een Privileged Access Management (PAM)-oplossing
Privileged Access Management (PAM) verwijst naar het beveiligen en beheren van accounts die toegang hebben tot zeer vertrouwelijke systemen en gegevens. Geprivilegieerde accounts zijn onder meer salarisbetalingssystemen, IT-beheerdersaccounts en besturingssystemen.
Een PAM-oplossing helpt organisaties om toegang tot geprivilegieerde accounts te beveiligen en beheren door gebruik te maken van het Principle of Least Privilege (PoLP). PoLP is een cyberbeveiligingsconcept waarbij gebruikers net genoeg toegang krijgen tot de gegevens en systemen die ze nodig hebben om hun werk te doen, niet meer of minder. Met een PAM-oplossing kunnen organisaties ervoor zorgen dat gebruikers alleen toegang krijgen tot de accounts die ze nodig hebben via Role-Based Access Controls (RBAC). Organisaties kunnen ook het gebruik van sterke wachtwoorden en Multi-Factor Authentication (MFA) afdwingen om accounts en systemen verder te beveiligen.
Regelmatig wachtwoorden rouleren
Door wachtwoorden regelmatig te rouleren kunt u het risico op een Pass-the-Hash-aanval beperken, omdat de tijd dat een gestolen hash geldig is wordt ingekort. De beste PAM-oplossingen zijn allesomvattend en hebben wachtwoordroulatie als een functie die u kunt inschakelen.
Zero-trust implementeren
Zero-trust is een framework dat ervan uitgaat dat alle gebruikers zijn gelekt, vraagt hen om doorlopend hun identiteit te bevestigen en beperkt hun toegang tot netwerksystemen en -data. In plaats van impliciet alle gebruikers en apparaten binnen een netwerk te vertrouwen, vertrouwt zero-trust niemand en gaat ervan uit dat alle gebruikers in potentie kunnen zijn gecompromitteerd.
Zero-trust kan cyberbeveiligingsrisico's helpen terugdringen, het aanvalsoppervlak van een organisatie minimaliseren en audit- en nalevingsmonitoring verbeteren. Met zero-trust hebben IT-beheerders volledig zicht op alle gebruikers, systemen en apparaten. Ze kunnen zien wie verbinding maakt met het netwerk, waarvandaan er wordt verbonden en waar er toegang tot wordt verkregen.
Regelmatig penetratietests uitvoeren
Penetratietests, die ook wel pentests worden genoemd, zijn gesimuleerde cyberaanvallen op netwerken, systemen en apparaten van een organisatie. Door geregeld een penetratietest uit te voeren, kunnen organisaties bepalen waar er kwetsbare plekken zijn, zodat ze die kunnen verhelpen voordat ze worden uitgebuit door cybercriminelen.
Hou uw organisatie veilig voor Pass-the-Hash-aanvallen met KeeperPAM®
KeeperPAM is een next-generation geprivilegeerde toegangsbeheeroplossing die Keeper’s Enterprise Password Manager (EPM), Keeper Secrets Manager (KSM) en Keeper Connection Manager (KCM) combineert tot één verenigd platform om uw organisatie te beschermen tegen cyberaanvallen.