Momenteel wordt er veel gesproken over Pass-the-Hash-aanvallen (PTH). Deze misbruiken beveiligingslekken in de authenticatie-systemen van Windows Lan Manager (LM) en Windows NT Lan Manager (NTLM). Om die reden is in principe elk Windows-systeem een doelwit. Het is zeer moeilijk om je tegen PTH-aanvallen te verdedigen, omdat slechts een kwetsbare computer genoeg is voor een hacker om het netwerk binnen te dringen. Helaas zijn er talloze exploits in Windows en de applicaties die er op draaien, waarmee hackers hun toegangsprivileges kunnen verhogen. Vervolgens kunnen zij beveiligings-hashes gaan verzamelen voor een PTH-aanval.
Er bestaat helaas geen patch die als een magische toverstaf alle hardware- en softwarematige kwetsbaarheden voor PTH-aanvallen oplost. Om nog een metafoor te gebruiken: daar heb je een meervoudige verdediging voor nodig, bestaand uit een slotgracht, hoge dikke muren, uitkijkposten, spionnen en goede soldaten. In technologische termen noemen we dit in-depth verdediging of het gebruik van meerdere beveiligingslagen. Dit implementeer je door het gebruik van firewalls, intrusion prevention systemen, 802.1 x en smartcard of twee-factor authenticatie en IPsec. Verder zijn antivirussoftware en volledige diskencryptie aan te raden, maar ook het verminderen van het aantal werknemers dat verhoogde toegangsprivileges (admin accounts) heeft, kan de beveiliging verbeteren. Proactief beveiligings-patches installeren om indringers te misleiden, te detecteren en aanvallen af te wenden, helpt om het bedrijfsnetwerk te beschermen tegen deze aanvallen.
Geen internet
Het is helaas onmogelijk om een netwerk volledig te beschermen tegen PTH-aanvallen, of elk ander type aanval. Om dat te realiseren, zouden bedrijven die 100 procent bescherming willen zich moeten afsluiten van internet en al hun werknemers verbieden om een laptop buiten kantoor te gebruiken. Er zijn echter wel een aantal elementaire dingen die gedaan kunnen worden om het netwerk beter te beschermen en ook zijn er software-oplossingen die daarbij kunnen helpen. Microsoft heeft bovendien een aantal documenten gepubliceerd over PTH-aanvallen die de moeite waard zijn, waaronder: “Pass-the-Hash and Other Credential Theft” en “New Strategies and Features to Help Organizations Better Protect Against Pass-the-Hash Attacks.”
Zes beveiligingstips
Een paar van de meest fundamentele dingen die je kunt doen om een netwerk beter te beschermen tegen aanvallen van hackers zijn:
- Voeg nooit je normale gebruikersaccount toe aan een gebruikersgroep met verhoogde privileges. Als het nodig is om een beheertaak uit te voeren met verhoogde domeinrechten, meldt je dan af en weer aan met je beheerdersaccount. Hiermee worden de werktaken en beheertaken gescheiden, waardoor er minder kans is dat een phishing-aanval of een ander beveiligingslek impact heeft op een beheerdersaccount.
- Gebruik een andere, beter beveiligde computer voor werkzaamheden met verhoogde beheerdersrechten. Dit is een systeem met het nieuwste besturingssysteem, voorzien van alle nodige patches, en waarop een strengere beveiligingsbeleid van toepassing is. Sluit dit systeem bovendien op het netwerk via een ethernet-kabel en niet via WiFi.
- Gebruik altijd een wachtwoord van 15 tekens of meer voor beheeraccounts. De LMHash is minder sterk in vergelijking met andere hashes, dus door een wachtwoord van 15 karakters of langer te gebruiken, voorkom je dat de LMHash wordt opgeslagen. Het is sowieso een goede gewoonte om een langer wachtwoord voor accounts met verhoogde rechten te gebruiken. Wijzig dit wachtwoord ook regelmatig en zorg dat u de Windows ‘NoLMHash’-Group Policy hebt geïmplementeerd. Voor meer informatie, ga naar: http://support.microsoft.com/kb/299656
- E-mail is een ander kanaal dat vaak door aanvallers wordt misbruikt. Het is daarom van essentieel belang om ervoor te zorgen uw beheerdersaccounts geen Exchange- of e-mailtoegang hebben. Dit zorgt voor sterk verbeterde beveiliging van deze accounts.
- Zorg ervoor dat de lokale Guest- en Administrator-accounts zijn uitgeschakeld.
Gebruik ten slotte een software-oplossing die helpt bij het beschermen van gevoelige beheerdersgegevens, waaronder die voor Windows. Het is belangrijk om een oplossing te kiezen die het hele proces van toewijzen, controleren en beveiligen van rechten aan beheerders automatiseert. Zij zouden alleen de rechten moeten krijgen die noodzakelijk zijn om hun werk uit te voeren. Ook zouden beheerdersaccounts uitgeschakeld moeten worden als ze niet in gebruik zijn.
