Unit de pilotage informatique de la Confdration UPIC

Service de renseignement de la Confdration SRC

Centrale denregistrement et danalyse pour la sret de
linformation MELANI
www.melani.admin.ch

Considrations technologiques

Attaques pass-the-hash
24 juin 2013
1 Introduction
Les attaques pass-the-hash constituent un rel danger pour la scurit des rseaux
dentreprise. Elles exploitent le fait que dans les procdures dauthentification bases sur
un mot de passe, les utilisateurs ne doivent souvent saisir quune seule fois un mot de
passe qui, par la suite, pourra tre rutilis sous forme hache. Il est ds lors indiffrent
pour un pirate de connatre la valeur de hachage dun mot de passe ou le mot de passe lui-
mme1, puisquil na pas besoin de le reconstituer partir de sa valeur de hachage. Cette
situation facilite grandement les intrusions, contre lesquelles mme les mots de passe
soigneusement choisis (avec une entropie leve) sont impuissants.
Les prsentes considrations technologiques expliquent ce quest une attaque pass-the-
hash partir de son mode opratoire, valuent le potentiel de risque et indiquent
comment ragir le cas chant.

Problmatique
Une attaque pass-the-hash comporte cinq tapes:
Premirement, un pirate se procure les autorisations dun administrateur local de
systme sur un (ou plusieurs) client(s). Il dispose ainsi de vecteurs dattaque bien
connus (p. ex. envoi de pourriels munis dhyperliens vers des sites o une infection par
drive-by download tentera de se propager).
Puis le pirate utilise les autorisations de ladministrateur local de systme, afin de
prparer le (ou les) client(s) lire les valeurs de hachage des mots de passe (p. ex., en
installant un maliciel spcialement conu).
Dans la troisime tape, le pirate dclenche sur un client ainsi prpar un cas de
dpannage et le signale au service comptent (p. ex. service dassistance).
Quatrimement, un dpanneur se connecte localement ou distance au client pour
soccuper du cas. Si le dpanneur dispose des droits dun administrateur de domaine, le
client pourra rcuprer les valeurs de hachage du mot de passe utilis.
Enfin, le pirate utilise les valeurs de hachage des mots de passe pour sannoncer
comme administrateur de domaine et prendre ainsi le contrle des domaines.
Bien entendu, une attaque pass-the-hash peut aussi tre lance directement contre un
client utilis par un administrateur de domaine (pour autant quil soit connu et accessible).
Le cas chant, les tapes 1 4 sont superflues. Dans tous les cas, un pirate parvient
souvent en quelques heures prendre le contrle de domaines entiers, voire de forts.
Les attaques pass-the-hash ont beau toucher essentiellement les rseaux dentreprise
bass sur Windows et tre abords dans ce contexte, de telles attaques sont possibles sur
tous les rseaux o lutilisateur na pas besoin de sauthentifier chaque fois et o des
accrditations (credential, p. ex. sous forme de valeurs de hachage de mots de passe) sont
enregistres localement et peuvent resservir pour le processus dauthentification. Le
problme est donc srieux et ne peut tre rsolu en apportant des correctifs aux logiciels,
ou par une simple refonte des processus dauthentification.

Solutions possibles
La littrature propose parfois des approches dont lutilit est nulle ou faible face aux
attaques pass-the-hash. Par exemple, le mcanisme de cl complmentaire alatoire
Salt utilis par UNIX a beau protger contre les attaques par dictionnaire en mode hors

1
La littrature parle de plaintext equivalent. Autrement dit, la valeur de hachage est lquivalent du mot de passe en toutes
lettres.

2/4
connexion, il est impuissant face aux attaques pass-the-hash. Il en va de mme des
mots de passe complexes, c'est--dire entropie leve. La qualit cryptographique ne
joue aucun rle dans une attaque pass-the-hash, qui fonctionne aussi bien avec un mot
de passe banal que pour les mots de passe trs longs et comportant de nombreux signes
spciaux. Mme les procdures dauthentification bases, p. ex., sur une carte puce ou
une empreinte biomtrique naident pas beaucoup, car les valeurs de hachage des mots de
passe sont installes localement, o elles peuvent tre copies. Enfin, les antivirus
disponibles dans le commerce nidentifient gnralement que les maliciels connus, si bien
quen modifiant le maliciel utilis aux tapes 1 et 2, le pirate le rendra indtectable par les
antivirus.
Les attaques pass-the-hash telles quon les connat aujourdhui tirent parti de deux
grands problmes:
Dune part, la quatrime tape de notre dmonstration (traitement des cas de
dpannage) ncessite les autorisations dun administrateur de domaine. Les valeurs de
hachage des mots de passe correspondants tant installes sur le client, il est possible
de les copier laide de maliciels pralablement infiltrs.
Dautre part, il suffit de disposer, pour les protocoles dauthentification habituellement
utiliss aujourdhui, de la valeur de hachage dun mot de passe (au lieu du mot de
passe). Cest notamment le cas des gestionnaires de rseaux locaux (LAN manager,
LM) et des protocoles dauthentification NTLM qui, en dpit de leurs faiblesses connues,
restent employs beaucoup dendroits, par souci de compatibilit ascendante2.
Un pirate ayant russi semparer, en raison du premier problme susmentionn, de la
valeur de hachage du mot de passe dun administrateur de domaine pourra ensuite, grce
au second problme, sauthentifier auprs dun contrleur de domaine et donc prendre le
contrle de ce domaine.
Pour prvenir efficacement les attaques pass-the-hash, il est possible de combattre lun
ou lautre des problmes. Dans les deux cas, il est difficile de trouver une solution.
Dans le premier cas, la difficult tient ce quun dpanneur a besoin des autorisations
dun administrateur pour faire correctement son travail. Une limitation des autorisations
accordes ne permettrait pas de fournir des prestations de dpannage satisfaisantes
aux utilisateurs concerns. En outre, les pirates parviennent provoquer des pannes
toujours plus complexes, impossibles rparer sans les autorisations dun
administrateur de domaine.
Dans le second cas, la solution consisterait soit exiger de lutilisateur quil inscrive
chaque fois son mot de passe, qui deviendrait ainsi ncessaire pour lauthentification,
soit lui demander dinscrire une seule fois son mot de passe et le sauvegarder de
manire scurise (pour quil ne puisse pas tre lu). Les deux options prsentent de
graves inconvnients: la premire est peu commode pour lutilisateur, qui devra saisir
tout moment son mot de passe. La seconde est problmatique, dans la mesure o elle
exige un archivage scuris du mot de passe et quon voit mal a priori comme le
montrent les attaques pass-the-hash comment y parvenir.
Dans ces conditions Microsoft recommande, pour se protger contre les attaques pass-
the-hash, diverses mesures qui visent toutes, en dfinitive, soit accorder moins
gnreusement les autorisations dadministrateur local de systme et de domaine, soit
les limiter dans le temps. Une telle approche est certainement correcte et pertinente pour la
scurit technique; malheureusement, elle est incompatible en pratique avec les exigences
dexploitation, et si lon restreint trop les autorisations dun administrateur, la gestion du
domaine risque den ptir.
Bien entendu, on peut aussi choisir de rinstaller chaque fois le client concern, au lieu
de lui fournir une prestation de dpannage. Le cas chant, les attaques pass-the-hash
deviennent inutiles et le pirate devra expressment attaquer un client utilis par un

2
Le constat vaut aussi pour la version 2 de NTLM (NTLMv2), qui limine certes les vulnrabilits et les failles connues des
protocoles dauthentification de LM et NTLMv1, sans apporter damlioration majeure face aux attaques pass-the-hash.

3/4
administrateur de domaine (pour accder la valeur de hachage dun mot de passe sy
trouvant). Il est toutefois possible de rduire cette fentre de vulnrabilit, en exploitant ces
clients dans un domaine spar ou mme si possible dans une fort spare et en
limitant les possibilits de communication au strict ncessaire.

Conclusions et perspectives
Les attaques pass-the-hash constituent aujourdhui un rel problme, au potentiel de
menace considrable, principalement dans les rseaux dentreprise bass sur Windows.
Elles sont possibles parce que les utilisateurs ne veulent pas devoir sauthentifier tout
moment et qu la place, des accrditations sont enregistres localement (p. ex. sous
forme de valeurs de hachage des mots de passe) et rutilises pour les processus
dauthentification. Tant que cette approche signature unique (single sign on, SSO) est
maintenue, il ne sera pas possible de prvenir efficacement les attaques pass-the-
hash, mais seulement den attnuer les effets. Une limitation des autorisations des
administrateurs locaux de systmes et de domaines permet de rduire les fentres de
vulnrabilit. Or ce nest pas une solution durable, car un pirate averti saura tirer parti
mme dune petite fentre pour semparer dun domaine. Lalternative consiste
remplacer les prestations de dpannage par la rinstallation des clients dans les cas
problmatiques, ou par la dsactivation des comptes des administrateurs locaux de
systmes. Cette dernire solution prvient certes linstallation de maliciels pour drober
les valeurs de hachage des mots de passe, mais nempchera pas ncessairement les
autres vecteurs dattaque de rcuprer la valeur de hachage (p. ex. en la lisant
directement dans la mmoire centrale).
En thorie, une autre approche consisterait abandonner la signature unique (SSO) et
exiger la place des utilisateurs quils sauthentifient frquemment (pour viter tout
archivage local de la valeur de hachage des mots de passe). Cela serait toutefois peu
convivial, et donc il est peu probable quune telle approche simpose. Comme diffrentes
initiatives en matire de SSO sont en cours de ralisation, il faut plutt sattendre une
recrudescence des attaques pass-the-hash dans les rseaux dentreprise, et donc
une aggravation du problme. Dans un certain sens, les attaques pass-the-hash
constituent le prix payer en change des avantages de la signature unique. Dans tous
les cas, il faudra mieux surveiller les privilges et activits des administrateurs locaux de
systmes et de domaines, et les contrler laide de procdures heuristiques.
Enfin, il convient de rappeler que les mcanismes et les produits de cryptage bass sur
les fichiers et donc indpendants du systme dexploitation rsistent aux attaques
pass-the-hash. Autrement dit, si un utilisateur a crypt des fichiers spcifiques et pour
autant que les cls correspondantes napparaissent pas en toutes lettres sur le client, un
pirate stant procur grce une attaque pass-the-hash les autorisations dun
administrateur de domaine ne pourra pas lire ces donnes. Une telle prcaution est
dautant plus importante quaujourdhui, de nombreuses cyberattaques visent copier un
maximum de fichiers, aprs avoir compromis un client. Cela est ais dans les cas de
mcanismes et produits de cryptage oprant au niveau des conteneurs, qui ont de fortes
chances de rester ouverts, alors que si un utilisateur crypte directement ses fichiers, le
pirate ne pourra pas y accder.

4/4