Перейти к содержимому


rek
Фотография

Атака Pass the hash Pass the ticket и как от этого защититься

атака эксплойт уязвимость защита взлом взломщик хакер хакинг пароль аворизация windows программа утилита инструмент

В этой теме нет ответов

#1 xenotropic

xenotropic
  • Эксперт.
  • Пользователи
  • PipPipPipPipPip
  • 315 сообщений

Отправлено 20 Ноябрь 2019 - 10:51

Зайти в Windows можно при помощи паролей или же благодаря смарт-картам. Администратор проводит настройку таким образом, чтобы компьютер делал запрос на определенную смарт-карту, которая дает доступ к Операционной системе.

Метод двухфакторной аутентификации заключается в том, что человек должен знать не только какой-либо код доступа, но и обладать вещью для разблокировки, в данном случае – смарт-карта. Только при необходимом сертификате смарт-карта даст возможность ввода пин-кода, после чего пользователь может запустить операционку.

Во время настройки пользователя, на домен устанавливается атрибут, который необходим для работы аутентификации с помощью смарт-карты, к данному пользователю приписывается какой-то NT-хэш. Значения данного хэша устанавливается случайно и в будущем никак не изменяются. Контроллер домена во время проведения аутентификации пересылает данный хэш в узел, подключение к которому производится.

 

Атака Pass the hash

Уязвимость работает по данному принципу: мошенник получает тот самый NT-хэш и благодаря нему проводит аутентификацию, используя способ pass the hash. Узнав данную информацию, злоумышленнику не нужно будет иметь смарт-карту или пин-код для получения доступа. А т.к. хэш в будущем неизменен, то злоумышленник получается возможность подключаться к ресурсам в любой момент времени.

Для получения хэша используется инструмент Mimikatz прямо на сетевых узлах, со сценариями от 1 до 3.

Z4Dh_w5o14s.jpg

Картинка показывает старт программы Mimikatz на узле, а на последующих скриншотах показывается удавшаяся попытка авторизации благодаря уязвимости.

2YNdWyHg32Y.jpg

Помимо хэша и соответственно пароля учетной записи, можно узнать реальный пин-код смарт-карты.

Запуская на сетевых узлах инструмент Mimikatz, появляется возможность копирования всех данных с привилегированных учетных записей, даже в случае использования двухфакторной аутентификации. Авторизация в данной операционной система построена так, что не получив прямого доступа к пользователю администратора, он получит хэш. А если он неизменен, то позволяет использовать его на прочих узлах сети. Данный методы дают возможность использования атаки и обхода данного метода защиты.

 

Защита от уязвимости

Windows 10 имеет в своем арсенале Remote Credential Guard, необходимая для защиты пользователей, во время удаленной работы. Данная вещь повышает безопасность, при попытке использования атаки.

 



rek




Темы с аналогичным тегами атака, эксплойт, уязвимость, защита, взлом, взломщик, хакер, хакинг, пароль, аворизация, windows, программа, утилита, инструмент


reklama reklama

Рейтинг@Mail.ru Analysis informer pr cy
Рейтинг@Mail.ru
Добавить Vkontakte Добавить в Facebook Добавить в Twitter Добавить в LiveJournal