Pass the Hash è un tipico attacco a sistemi windows che avviene quando si utilizza il single sign on (SSO) per muoversi all'interno di un dominio.
Dovete sapere che le credenziali utente, necessarie per l'SSO, vengono memorizzate nel Local Security Authority Subsystem e per consentire un rapido SSO vengono memorizzate in cache.
Ora Windows per consentire l'autenticazione necessaria al single sign on controlla solo gli hash delle password, quindi rubando questi hash un malintenzionato è in grado di autenticarsi e muoversi in rete indisturbato.
Questo tipo di attacco è mitigabile utilizzando sistemi come Windows Defender Credential Guard, disabilitando Lan Management Hash o limitando il numero di account con diritti amministrativi.
E' singolare l'intervento di Mark Russinovic, CTO di Microsoft Azure, che alla RSA Conference del 2014 sottolineò che se si vuole essere immuni dagli attacchi Pass The Hash bisogna disabilitare il Single Sign On!

Tweet