Attaque de type pass-the-hash

Sécuriser les identifiants privilégiés et prévenir le détournement de privilèges

Évaluer PAM360Contacter un expert

Accueil
Last updated date : 16 May 2024

Aperçu d’une attaque de type pass-the-hash

Il s’agit d’une technique permettant à des pirates de prendre le contrôle d’un processus de gestion de l’accès en volant des identifiants hachés et les utilisant pour simuler l'utilisateur d’origine. Un hachage est une forme neutre et irréversible du mot de passe, stockée de façon sécurisée sur un serveur ou un terminal. À chaque connexion ultérieure, ce hachage est vérifié pour authentifier l'utilisateur, lui évitant d’avoir à indiquer un mot de passe chaque fois. Ainsi, dans une attaque de type pass-the-hash, un pirate n’a même pas besoin de craquer le hachage, il lui suffit de le fournir pour se faire passer pour un utilisateur légitime et tromper le système d'authentification.

Les protocoles d'authentification exigent en général un nom d'utilisateur et un mot de passe. Toutefois, en cas de tentative d’attaque de ce type, un pirate cherche à imposer le hachage volé et accéder à des terminaux sensibles. Cela lui permet d’ignorer les alertes émises lors des échecs de connexion à l’aide de mots de passe et de ne pas aviser l’utilisateur du détournement des privilèges.

Raisons pour lesquelles il faut prévenir une attaque de type pass-the-hash

Il s’agit souvent d’un processus discret ayant un impact profond sur la sécurité d’une entreprise, d’où un enjeu grandissant. Avant que l’on ne détecte les anomalies, le pirate peut accéder à des données d’entreprise confidentielles. L’absence de MFA accroît ce risque, le pirate pouvant déjouer des contrôles de sécurité stricts et s’immiscer dans l’environnement.

La réussite d’une telle attaque lui permet de se faire passer pour un utilisateur légitime et détourner ses privilèges. Un défaut de suivi des privilèges d’accès des utilisateurs facilite la tâche du pirate pour franchir l’enceinte. Un hachage lui suffit alors, constituant une clé d’entrée pour se déplacer ensuite dans le réseau.

La prévention d’une telle attaque ne se limite pas à empêcher des utilisateurs non autorisés de naviguer avec des privilèges élevés. Il faut adopter des stratégies et des intégrations avancées pour que l’organisation puisse renforcer notablement sa sécurité.

Fonctionnement d’une attaque de type pass-the-hash

Une attaque de ce type commence lorsqu’un pirate a accès à des privilèges de compte local. Voici un exemple de tentative courante :

  • Un utilisateur à intention malveillante tente de voler des hachages de mot de passe sur un terminal sensible. Il effectue à cet effet une attaque de phishing, une injection de malware ou utilise un outil d’extraction comme Mimikitz.
  • Le hachage obtenu permet au pirate de se connecter à un terminal cible et, en l’absence de MFA, le processus s’avère plus simple.
  • Le pirate simule ensuite le terminal compromis et recherche les privilèges associés au compte.
  • Ces privilèges servent à accéder facilement à divers autres systèmes et à basculer entre eux.
  • Ils servent aussi à effectuer des opérations par abus de privilèges, comme la modification ou le vol de données ou un changement permanent des détails de connexion de comptes d’utilisateur.

 

Fonctionnement d’une attaque de type pass-the-hash

Qui est vulnérable aux attaques de type pass-the-hash

Les organisations et les systèmes reposant sur NTLM (New Technology LAN Manager) pour gérer les identifiants d’utilisateur sous forme de hachages risquent cette attaque. Bien que NTLM simplifie l’authentification et permette des connexions ultérieures sans mots de passe, l’emploi de hachages le rend très vulnérable à la technique pass-the-hash. La vulnérabilité existe surtout dans les environnements Windows et, nombre d’organisations se fiant uniquement à l’authentification unique des utilisateurs, il devient plus difficile de prévenir ces attaques.

Comment détecter une attaque de type pass-the-hash

Les attaques de ce type simulant le comportement d’un utilisateur légitime, la détection des anomalies prend parfois du temps. Un pirate peut aussi utiliser des privilèges pour surpasser des mesures de sécurité comme des verrouillages de compte, des réinitialisations de mot de passe et d’autres contrôles de gestion des comptes.

Toutefois, ces attaques ne sont pas totalement indétectables. Une méthode de détection efficace consiste à exploiter la corrélation de journaux pour analyser le comportement des utilisateurs avec des ressources privilégiées et prendre les mesures nécessaires en cas d’action suspecte. Une autre méthode consiste à toujours prévoir des attaques de type pass-the-hash et à éviter leur apparition, amenant l’organisation à améliorer constamment la sécurité.

La détection de ces attaques s’opère en plusieurs étapes pour analyser les événements suivants :

  • Tentatives de connexion à des heures inhabituelles.
  • Tentatives de connexion de plages d’adresses IP et de terminaux inhabituels.
  • Pic du nombre des échecs de connexion.
  • Connexion réussie suivie d’actions régulières et anormales sur certains comptes.
  • Pic du nombre d’opérations en masse réalisées (par exemple, téléchargement de fichiers, réinitialisation de mots de passe, connexions successives à plusieurs comptes, etc.).

Comment se protéger contre les attaques de type pass-the-hash

Ce type d’attaques menace l’infrastructure de sécurité si l’organisation n’établit pas un suivi adéquat. Le déploiement d’une stratégie efficace de gestion de l’accès privilégié permet un contrôle précis des ressources privilégiées et réduit la surface d’attaque par abus de privilèges.

Protégez-vous contre les attaques de type pass-the-hash en instaurant les contrôles suivants :

  • Adoptez une authentification multifacteur généralisée pour la gestion de l’accès afin de renforcer la sécurité.
  • Appliquez le principe du privilège minimum pour accorder l’accès à des terminaux sensibles.
  • Évitez d’affecter un accès en mode tout ou rien et instaurez des contrôles d’accès juste-à-temps selon le besoin.
  • Identifiez les comptes à risque via un audit régulier pour gérer l’affectation et la révocation d’accès.
  • Intégrez des outils SIEM et de détection et réponse étendue (XDR) pour suivre de près l’activité des utilisateurs avec les ressources privilégiées et analyser les anomalies rencontrées.

Protection des identifiants d’utilisateur hachés avec PAM360

Considérant les effets en cascade de ce type d’attaque sur la sécurité d’une entreprise, il faut adopter une stratégie pour gérer les mots de passe de l’entreprise tout en régissant les actions connexes. ManageEngine PAM360 est une solution unifiée de gestion de l’accès privilégié pour l’entreprise qui répond aux défis complexes inhérents au contrôle et à la protection des ressources informatiques sensibles à tous les niveaux de l’organisation.

Offrant des fonctionnalités complètes comme les contrôles d’accès basé sur le rôle et l’élévation de privilèges juste-à-temps, PAM360 assure un accès fin aux ressources privilégiées et dope l'efficacité opérationnelle. Chaque activité d’un utilisateur est constamment analysée et consignée sous forme d’audit pour étudier les modèles comportementaux et identifier les comptes à risque.

De plus, PAM360 offre des contrôles Zero Trust pour veiller à des privilèges permanents nuls dans les méthodes d’accès. L’intégration aux outils SIEM et de gestion des terminaux assure une analyse complète des événements de l’environnement PAM pour réduire la surface d’attaque et prévenir les nouvelles menaces.

Gouvernez l’accès aux privilèges sur toutes les ressources informatiques et restez au courant des abus de privilèges

30 jours d'essai gratuit