Home Jeux Les attaques de type « Pass-the-Hash » et comment les prévenir dans les domaines Windows
Jeux

Les attaques de type « Pass-the-Hash » et comment les prévenir dans les domaines Windows

attaques, type, pass-the-hash, comment, dans, windows

Dans les films, les pirates informatiques saisissent généralement quelques touches et accèdent à des réseaux entiers en quelques secondes. Dans le monde réel, cependant, les attaquants commencent souvent par n’avoir qu’un compte utilisateur de bas niveau et s’efforcent ensuite d’obtenir des privilèges supplémentaires qui leur permettront de prendre le contrôle du réseau.

L’une des méthodes couramment utilisées pour acquérir ces privilèges est l’attaque « pass-the-hash« .

Les coulisses du hachage du mot de passe

Pour comprendre comment fonctionne une attaque de type « pass-the-hash », vous devez d’abord comprendre comment les hachages de mots de passe sont utilisés.

Lorsque vous attribuez un mot de passe à un système, ce mot de passe n’est pas réellement stocké sur le système. Au lieu de cela, le système d’exploitation utilise une formule mathématique pour calculer un hachage du mot de passe. Le hachage est ce qui est stocké, pas le mot de passe réel.

Lorsque vous vous connectez au système, le moteur d’authentification utilise la même formule mathématique pour calculer un hachage du mot de passe que vous avez saisi et le compare au hachage stocké. Si les deux hachages correspondent, le mot de passe est considéré comme correct et l’accès est accordé.

Ce qu’il faut retenir, c’est qu’en ce qui concerne le système, le hachage est le mot de passe.

Un attaquant qui veut accéder à un système n’a pas toujours besoin de connaître le mot de passe d’un utilisateur. Ils ont juste besoin d’avoir accès au hachage du mot de passe qui est déjà stocké dans le système. Du point de vue du pirate, avoir accès au hachage d’un mot de passe équivaut essentiellement à avoir accès au mot de passe.

Le hachage de mot de passe est une technique couramment utilisée pour protéger les mots de passe, mais toutes les technologies de hachage de mot de passe ne sont pas égales. Cet article présente les trois principaux types de techniques de hachage de mots de passe et explique comment changer celle que votre Active Directory utilise.

Que se passe-t-il lorsque le hachage est compromis ?

Comme indiqué précédemment, les cybercriminels qui veulent prendre le contrôle d’un réseau utilisent généralement un compte utilisateur de base comme point d’entrée initial. Ils peuvent acheter des informations d’identification volées sur le Web, infecter l’utilisateur avec un logiciel malveillant de vol de mot de passe, ou utiliser un certain nombre d’autres techniques pour obtenir le mot de passe d’un utilisateur.

Une fois que le pirate a accès au mot de passe d’un utilisateur de bas niveau (le mot de passe réel, pas le hachage), sa prochaine priorité est de se connecter en tant que cet utilisateur et de chercher des moyens d’augmenter ses autorisations. C’est là que l’attaque « pass-the-hash » entre en jeu.

Prévalence de Pass-the-hash dans le système d’exploitation Windows

L’attaque « Pass-the-hash » peut être utilisée sur une variété de systèmes, mais elle cible le plus souvent les systèmes Windows. La raison pour laquelle Windows est une cible privilégiée est que les systèmes Windows contiennent les hachages de mots de passe de toutes les personnes qui se sont connectées à ce système. Il importe peu qu’un utilisateur se soit connecté à un système localement ou qu’il ait utilisé une session RDP. Leur hachage sera toujours stocké sur le système.

Lorsque le pirate se connecte à un système, il recherche tous les hashs de mots de passe qui peuvent exister dans l’espoir qu’un administrateur se soit connecté à un moment donné. Si aucun hachage de niveau administrateur n’est présent, le pirate effectuera une attaque par pulvérisation de hachage dans laquelle il utilisera les hachages de mots de passe volés pour se connecter à chaque autre poste de travail et extraire ses hachages de mots de passe.

Finalement, le pirate trouvera probablement un système qui contient un hachage de niveau administrateur. Ce hachage peut ensuite être utilisé pour accéder aux contrôleurs de domaine, aux serveurs d’applications, aux serveurs de fichiers et à d’autres ressources sensibles.

Cinq étapes pour empêcher une attaque de type « pass-the-hash » dans votre réseau

Malheureusement, les attaques de type « pass-the-hash » sont difficiles à détecter car elles reposent sur les mécanismes d’authentification normaux du système d’exploitation. Il est donc important de prendre des mesures pour essayer d’empêcher les attaques de type « pass-the-hash » de réussir. Il y a plusieurs choses que vous pouvez faire pour réduire les chances de réussite d’une attaque de type « pass-the-hash« .

    Ne vous connectez jamais à un poste de travail avec un compte privilégié

Specops Password Auditor vérifie non seulement que les mots de passe des utilisateurs sont conformes aux normes industrielles en matière de mots de passe sécurisés, mais il peut également comparer les mots de passe des utilisateurs à une liste de mots de passe connus pour avoir été compromis. De cette façon, vous pouvez forcer un changement de mot de passe avant qu’un tel compte puisse être exploité.

SOURCE

Image:www.bleepingcomputer.com

Author

dakus

| Denial of responsibility | Contacts |RSS