PASS THE HASH Attack
Windows server veya istemcileri parolaları NT Hash algoritması ile hashlemektedir ve bu parolaları hashlenmiş bir biçimde saklamaktadır. Saldırganlar ise RAM üzerinden ilgili hash bilgilerini çalarak hedef sisteme erişilmesine Pass The Hash Attack denilmektedir.
Pass The Hash atağın amacı domain içerisine yayılmak ve hak yükseltmektir.
Windows sistemlerde NT Hash değerleri saldırgan tarafından ele geçilirse, parola yerine NT Hash değerleri kullanılarak, kimlik doğrulama işlemi gerçekleştirilebilir. Dolayısıyla yetkili bir Windows hesabın parolası bilinmese bile, NT Hash kullanılarak hesaba erişim sağlanabilir.
Pass The Hash atağından korunmak için;
- Kurum içerisinde personellere farkındalık eğitimi verilmelidir.
- Yapı içerisindeki tüm aktiviteler detaylı olarak izlenmelidir.
- Domain admin, enterprise admin gibi yüksek haklara sahip kullanıcılar için, Account is sensitive and cannot be delegated olarak işaretlenmelidir.
- SMB servisine ihtiyaç yoksa kapatılmalıdır.
- Domain controller, Exchange Server gibi kritik sistemlere direk olarak kendi istemci makinalarımızdan bağlanmamamız gerekmektedir.
- Domain admini gibi yüksek ayrıcalıklı haklara sahip kullanıcılar ile son kullanıcı bilgisayarlarına bağlanılmamalıdır.
- Ayrıcalıklı haklara sahip olan kullanıcılara komplex şifreler verilmelidir.
- Servis hesaplarına domain admin gibi yüksek ayrıcalıklı haklar verilmemelidir.
- Restricted admin mode for remote desktop connection kuralı yapılandırılmalıdır.
- Sunucuların güvenlik yamaları aktif olarak takip edilmeli ve gerekli yamalar anında yapılmalıdır.
- Olay günlükleri için korelason kuralları yazılmalı ve sistemler dikkatlice izlenmelidir.
Kaynaklar:
https://en.wikipedia.org/wiki/Pass_the_hash
https://searchsecurity.techtarget.com/definition/pass-the-hash-attack