Abbiamo parlato recentemente di attack kill chain e lateral movement (Yooda | Blog | Attack Kill Chain); oggi vogliamo mostrare una tecnica chiamata “pass the hash”, utilizzata per conquistare ulteriori posizioni nell’ambiente di un cliente, dopo la compromissione di una prima workstation.
Il presupposto è una sorta di loose administration: l’amministratore di sistema e il CISO non prendono tutte le precauzioni necessarie, nè utilizzano le risorse che sono disponibili nativamente in Windows 10: stiamo pensando specificatamente a Microsoft Defender for Identity e Virtualization Based Security che introdurrebbero ulteriori layer di protezione non facilmente bypassabili da un attaccante (Credential Guard) o sarebbero in grado di mitigare la situazione grazie ad alert e view in tempo reale (Microsoft Defender for Identity).
La situazione migliora con Windows 11, che nasce con un forte approccio alla sicurezza, ma di questo parleremo un’altra volta.
Nel video mostriamo come sia possibile, una volta compromessa una prima workstation, fare privilege escalation tramite una tecnica chiamata “pass the hash”.
Riassumo di seguito gli steps necessari, buona visione!
- Compromissione di una workstation; questa parte non viene mostrata. Immaginiamo che la compromissione possa avvenire sfruttando uno Zero Day (Attack Surface Reduction sarebbe importante per mitigare questi tipi di attacco)
- Reconnaissance, ad esempio tramite query SAM-R per individuare gli utenti del dominio, i gruppi sensibili ed i relativi membri, etc.
- Utilizzo di Mimikatz per ottenere ulteriori credenziali (ricordate le derived credentials contenute in LSASS?)
- sekurlsa::logonpasswords
- utilizzo delle credenziali così ottenute in un attacco PTH
- sekurlsa::pth /user:admin /domain:MyDomain /ntlm:528ecw3f7dr03655g8d45f0035ak42
Don't stop there, read more
Sicurezza e compliance con NIS2
Sicurezza e compliance sono elementi fondamentali, questo lo sappiamo tutti. E garantire un buon livello di sicurezza (security posture) è un aspetto fondamentale, richiesto anche da NIS2. Così come sappiamo tutti che raggiungere un certo livello di sicurezza è molto complicato. Lo scorso 23 ottobre, insieme a Microsoft, abbiamo tenuto un webinar per raccontare il […]
Copilot e Purview: a difesa della privacy e della sicurezza dei dati
L’era dell’intelligenza artificiale (IA) sta trasformando il modo in cui le aziende operano, offrendo opportunità senza precedenti per aumentare la produttività e innovare. Tuttavia, con queste opportunità emergono anche nuove sfide legate alla sicurezza dei dati, per questo parliamo di Microsoft Purview e Copilot. Microsoft Purview gioca un ruolo cruciale nel garantire che le organizzazioni […]
NIS2: Come rispettare le linee guida con Microsoft 365
La Direttiva NIS2, acronimo di Network and Information Security 2, è una normativa europea che mira a rafforzare la sicurezza informatica all’interno dell’Unione Europea. Questa direttiva aggiorna e amplia la portata della precedente NIS, introducendo nuove misure e requisiti per migliorare la resilienza delle infrastrutture digitali. Quali sono le misure da adottare? Le imprese devono […]
Enter the digital universe
With Yooda you can lead your company towards a new mindset that will change everyone's experience for the better and generate new value for you.