En muchos de los ataques avanzados persistentes (Advanced Persistent Threats) que Microsoft ha analizado a lo largo de los últimos años, uno de los patrones recurrentes que hemos encontrado es que después de haber logrado ingresar al sistema, muchas veces a través de ataques basados en ingeniería social como spear phishing y/o drive-by downloading y de haber logrado el escalamiento de privilegios a través de la explotación de alguna vulnerabilidad en el sistema operativo, después viene la utilización de ataques tipo Pass-the-Hash (PtH) que se enfocan en robar credenciales que permitan comprometer otros componentes del sistema, y finalmente, comprometer al controlador de dominio y poder tener un control total sobre todo el sistema de información.
Por lo general en Pass-the-Hash se utiliza una técnica en la cual un atacante captura las credenciales de inicio de sesión en un equipo y después utiliza esas credenciales para autenticarse en otros equipos de la red. Cabe mencionar que un ataque de PTH es muy similar en concepto a un ataque de robo de contraseñas, no obstante se basa en el robo y la reutilización de los valores hash de la contraseña, en lugar de la contraseña en texto plano. Luego, este hash se puede utilizar directamente para acceder a los servicios en caso de utilizar Single-Sign-On (SSO) como por ejemplo cuando se utiliza Kerberos. Microsoft recientemente publicó un documento Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques [PDF] donde se explican en detalle este tipo de ataques, y más importante aún, donde se discuten estrategias para manejar adecuadamente los posibles vectores de ataque y mitigar los riesgos inherentes al modelo de autenticación actual,a través de acciones específicas que permiten proteger el sistema. Para más información visita blogs.technet.com Realizado por Nataly Mejía. Marketing.