Por Marta Coronado, Team Leader do departamento de Auditoria de S21sec
Os “movimentos laterais”, também conhecidos como “Pass the hash” (PTH) ou “Pass the tickets” (PTT) são a principal técnica utilizada por diferentes famílias de malware para se expandir. Este tipo de movimentos em ambientes Microsoft é conhecido há já mais de uma década, mas a realidade é que, ao dia de hoje, a maior parte das organizações continua sem estar preparada para os evitar e o seu impacto continua a ser muito elevado.
As novas ferramentas e técnicas que permitem agilizar os ataques através de movimentos laterais em ambientes Microsoft são um tema recorrente no mundo da cibersegurança. Apesar de conhecê-los e analisá-los desde há muitos anos, ainda há quem não saiba se é possível ter uma solução real para prevenir os ataques de PTH ou PTT na rede. A resposta é sim, mas não de forma direta, já que há muitos aspetos a ter em conta e o papel que o desenho da infraestrutura representa na solução é determinante.
A chave reside em aplicar soluções em diferentes níveis e a parte mais critica recai na proteção das contas de administradores. Porque uma vez comprometido um sistema Windows, é possível utilizar as credenciais dos utilizadores locais para aceder a outros sistemas que se encontrem configurados da mesma maneira. De salto em salto entre máquinas, a ideia seria conseguir as credenciais de utilizadores com permissões elevadas no domínio e, assim, poder controlar todas as máquinas, utilizadores ou serviços.
Em muitos dos casos, por falta de conhecimento, consciencialização ou tempo, é frequente encontrar-se nas organizações a aplicação de “más práticas” que permitem que, em caso de um ataque ou comprometimento, a repercussão seja crítica:
-Sistemas sem ferramentas de proteção face à execução de ferramentas de password dump, roubo de credenciais, antivírus, white lists, etc:
-Passwords de contas da administração fracas e/ou coincidentes num grande número de instalação de sistemas a partir de clonados originais com configurações idênticas;
-Passwords de contas da administração local coincidentes com contas de domínio;
-Armazenamento de credenciais em textos simples na memória;
-Gestão inadequada de autorizações do utilizador (utilizadores regulares com privilégios locais avançados e uso deste tipo de contas para navegação na internet em postos de trabalho ou
servidores;
-Grupos de administração do domínio com demasiados utilizadores;
-Contas da administração partilhadas por vários utilizadores;
-Uso descontrolado de contas de administração do domínio no local de trabalho e servidores; aplicações e serviços configurados com contas administrativas; tarefas programadas configuradas com acessos da administração; acesso com contas da administração a postos de trabalho e servidores.
Está claro que estes pontos são os primeiros a tratar, mas para poder combater este risco é necessário algo mais. É fundamental o desenho de um plano estratégico no qual há que controlar o roubo de credenciais e a falsificação de contas do utilizador. E para isso será necessário criar um novo desenho operacional em que o objetivo seja reduzir o risco de exposição das contas mais avançadas, que estão no ponto de mira de qualquer atacante. Também é necessário aplicar diretivas de configuração para reduzir o grau de movimento na rede através da falsificação de contas.
No que se refere a passwords armazenadas na memória, existem múltiplas configurações para controlar a eliminação de credenciais na memória, tanto dos hashes como das credenciais em texto simples, assim como configurações para impedir o armazenamento de credenciais de ligações RPD em máquinas remotas.
Ao nível do roubo de contas, as versões mais modernas são configuráveis para evitar o uso de contas locais para acessos remotos, restringindo os saltos entre máquinas através do uso da SAM (base de dados locais de credenciais do equipamento). Outra ferramenta importante que se pode considerar é a LAPS (Local Administrator Password Solution). Trata-se de uma solução da Microsoft para a gestão centralizada dos administradores locais através do diretório ativo. Com esta implementação consegue-se estabelecer passwords diferenciais a nível local e diminuem-se, assim, os movimentos laterais com contas locais.
A Microsoft recomenda o estabelecimento gradual de um nível de administração segregado para que existam diferentes graus de administração, separados por postos de trabalho, servidores e controladores de domínio. Desta forma, as passwords com perfis de administração do domínio deixariam de estar em cache na memória das estações de trabalho que, se comprometidas, poderiam ser o último degrau de uma escalada de privilégios. Portanto, separar os três tipos de funções no sistema evita que, se um posto de trabalho for comprometido, os servidores e o controlo de domínio fiquem também comprometidos.
Como valor acrescentado a este novo cenário, recomenda-se avaliar a possibilidade de fazer uso dos postos da administração, através da aplicação de medidas de restrição de acesso personalizadas e de um nível de segurança mais elevado, a partir do qual as tarefas de administração são executadas. Desta forma, a possibilidade de obter uma destas contas irá centrar-se apenas nestes postos de trabalho, que se devidamente blindados, reduzem a possibilidade de êxito de um ataque.
Em suma, existem de facto medidas para mitigar os movimentos laterais numa rede baseada em sistemas Microsoft Windows, no entanto é necessário ter uma visão necessário ter uma visão transversal e aplicar soluções não só do ponto de vista das configurações, mas também do lado operacional dos administradores e da infraestrutura.
