{"id":14866,"date":"2021-09-06T07:00:00","date_gmt":"2021-09-06T05:00:00","guid":{"rendered":"https:\/\/www.cyberfero.com\/?p=14866"},"modified":"2021-08-30T09:41:12","modified_gmt":"2021-08-30T07:41:12","slug":"pass-the-ticket-socaas","status":"publish","type":"post","link":"https:\/\/www.cyberfero.com\/it\/pass-the-ticket-socaas\/","title":{"rendered":"Pass the Ticket: come mitigarlo con un SOCaaS"},"content":{"rendered":"\n

<\/path><\/svg><\/span><\/span>Estimated reading time: <\/span>5<\/span> minuti<\/span><\/p>\n\n\n\n

Ogni anno cresce costantemente il numero di attacchi che minacciano la sicurezza di dispositivi, sistemi informatici, server e infrastrutture di rete. Questo avviene traendo vantaggio dalle vulnerabilit\u00e0 presenti in questi sistemi. Tra le tante tipologie di attacchi, bisogna prestare particolarmente attenzione all\u2019attacco pass the ticket<\/em><\/strong> (PTT)<\/strong>.<\/p>\n\n\n\n

Con un attacco pass the ticket<\/em> \u00e8 possibile sfruttare il protocollo di rete Kerberos, presente in tutti i principali sistemi operativi, per accedere alla sessione di un utente pur non avendo le sue credenziali d’accesso. Un attacco di questo tipo pu\u00f2 essere difficile da rilevare e solitamente \u00e8 in grado di aggirare i pi\u00f9 comuni controlli d\u2019accesso al sistema.<\/strong><\/p>\n\n\n\n

\"pass<\/a><\/figure>\n\n\n\n

Pass The Ticket: cos’\u00e8 e come funziona<\/h2>\n\n\n\n

Kerberos<\/h3>\n\n\n\n

Prima di capire nel dettaglio cos’\u00e8 e come funziona un attacco PTT \u00e8 opportuno fare un po’ di chiarezza sul protocollo di rete Kerberos dato che un attacco di questo tipo, sfrutta proprio questo protocollo. Kerberos<\/a> \u00e8 un protocollo di rete progettato dal MIT<\/a> negli anni ’80 ed \u00e8 diventato uno standard IETF<\/a> nel 1993. Viene usato per l’autenticazione forte tra diversi terminali tramite un sistema di crittografia a chiave simmetrica, senza trasmettere alcuna password.<\/strong><\/p>\n\n\n\n

Il vantaggio nell’utilizzare il protoccolo Kerberos sta nel suo sistema di autenticazione forte tra client e server. Questo lo rende molto efficace contro i tentativi di phishing<\/a> e contro gli attacchi “man in the middle<\/em>“.
Kerberos \u00e8 integrato in tutti i principali sistemi operativi appartenenti ad aziende note come Microsoft, Apple, Red Hat Linux e molte altre ancora.<\/p>\n\n\n\n

Con un attacco pass the ticket<\/em> \u00e8 possibile sfruttare l\u2019autenticazione Kerberos per ottenere l\u2019accesso ad un account utente.<\/strong> Le conseguenze che potrebbe comportare un avvenimento del genere non sono da sottovalutare. Tra i tanti scenari immaginabili ad esempio, ci potrebbe essere la possibilit\u00e0 che l\u2019account compromesso goda di elevati privilegi amministrativi<\/strong> garantendo cos\u00ec all\u2019hacker pieno accesso alle risorse.<\/p>\n\n\n\n

L’attacco<\/h3>\n\n\n\n

Un attacco pass the ticket<\/em> permette di ottenere un accesso privilegiato alle risorse di rete senza dover utilizzare alcuna password utente<\/strong>. Ecco come: in Active Directory, un Ticket Granting Ticket<\/a> (TGT) ha la funzione di dimostrare che un utente \u00e8 proprio chi dice di essere. Tramite alcuni strumenti e tecniche, un hacker potrebbe raccogliere questi ticket<\/em> e utilizzarli per richiedere dei Ticket Granting Service (TGS) con il fine di accedere alle risorse presenti in altre parti della rete.<\/strong><\/p>\n\n\n\n

Un attacco PTT potrebbe comportare dei rischi anche se l\u2019account compromesso non gode di particolari privilegi amministrativi dal momento che l\u2019hacker, tramite il Lateral Movment<\/a>, potrebbe riuscire ad ottenere l\u2019accesso ad altri account e dispositivi. <\/strong><\/p>\n\n\n\n

La differenza tra il pass the ticket<\/em> e un attacco pass the hash<\/a><\/em> sta nel fatto che il primo sfrutta i ticket TGT che hanno una scadenza di poche ore, mentre il secondo utilizza gli hash NTLM che cambiano solo nel caso in cui un utente decida di cambiare la sua password. Un ticket TGT deve essere utilizzato entro i tempi della sua scadenza oppure va rinnovato per un periodo di tempo pi\u00f9 lungo.<\/p>\n\n\n\n

Come difendersi e prevenire un attacco Pass The Ticket<\/h2>\n\n\n\n

Mantenere sicura una rete e i dispositivi ad essa connessi \u00e8 un fattore molto importante.<\/strong> Bisogna sempre avere protocolli e software che riescano a garantire una protezione efficace da ogni tipo di minaccia<\/strong>, con sistemi aggiornati che mantengano le informazioni sensibili al sicuro. Le aziende possono avvalersi di tecnologie di rilevamento e risposta degli endpoint. Sar\u00e0 possibile il rilevamento locale di pi\u00f9 ticket utilizzati per la stessa sessione.<\/strong><\/p>\n\n\n\n

Caso account senza privilegi<\/h3>\n\n\n\n

Nel caso in cui avvenga un attacco pass the ticket<\/em>, se l’account compresso a cui \u00e8 stato sottratto il TGT o il TGS era un account con privilegi limitati, la mitigazione potrebbe essere abbastanza semplice. Basta reimpostare la password di Active Directory dell\u2019utente.<\/strong> Un’azione simile invaliderebbe il TGT o il TGS, impedendo all\u2019hacker di generare nuovi ticket.<\/p>\n\n\n\n

Caso account con privilegi<\/h3>\n\n\n\n

Al contrario, se l’attacco PTT ha compromesso un account privilegiato, limitare il danno \u00e8 molto pi\u00f9 difficile.<\/strong> In questi casi, le aziende potrebbero rispondere all\u2019attacco reimpostando il servizio Kerberos TGT in modo da generare una nuova chiave di firma, assicurandosi di eliminare la chiave compromessa.<\/p>\n\n\n\n

Successivamente \u00e8 necessario analizzare nel dettaglio i registri Kerberos e le informazioni di Active Directory per investigare e scoprire a quali risorse di rete sono state compromesse. In questo modo si ha anche modo di capire quali dati potrebbero essere stati sottratti. La tecnologia SIEM<\/a> \u200b\u200bconsente alle organizzazioni di assimilare, analizzare e analizzare questi dati.<\/strong><\/p>\n\n\n\n

\"Pass<\/a><\/figure>\n\n\n\n

Protezione dall’attacco<\/h3>\n\n\n\n

Per garantire una protezione completa ad una infrastruttura, impedendo anche attacchi pass the ticket<\/em>, \u00e8 bene usare tecnologie di rilevamento valide come UEBA e SIEM. Infatti, \u00e8 possibile prevenire attacchi Pass The Ticket analizzando il comportamento degli utenti e delle entit\u00e0.<\/strong> La soluzione UEBA<\/a>, in questi casi, assicurerebbe l’identificazione rapida di qualsiasi account compromesso, bloccandolo in modo da mitigare i danni.<\/p>\n\n\n\n

Alcuni software SIEM<\/a> inoltre, permettono non solo di analizzare i tradizionali logs ma sono in grado anche di fornire un’analisi accurata della sicurezza<\/strong>, analizzando il comportamento della rete e degli utenti in modo da rilevare tempestivamente<\/em> la presenza di eventuali minacce all\u2019infrastruttura.<\/p>\n\n\n\n

Conclusioni<\/h2>\n\n\n\n

Abbiamo visto cos’\u00e8 un attacco pass the ticket<\/em> e in che modo le aziende possono adottare soluzioni specifiche per intercettare i pericoli e le anomalie di un’intera infrastruttura informatica. Possiamo cos\u00ec mitigare pi\u00f9 efficacemente le minacce. <\/p>\n\n\n\n

Una soluzione completa, come abbiamo visto, coinvolge un monitoring<\/em> costante e granulare delle comunicazioni. La soluzione che proponiamo a questo scopo \u00e8 un SOCaaS<\/a>.<\/strong><\/p>\n\n\n\n

Se vuoi conoscere i nostri servizi dedicati alla sicurezza, non esitare a contattarci. Puoi usare il pulsante qui sotto, saremo lieti di rispondere a qualsiasi tua domanda.<\/p>\n\n\n\n

\n
Contattaci<\/a><\/div>\n<\/div>\n\n\n\n

Useful links:<\/span><\/strong><\/p>\n\n\n\n