La reutilización de contraseñas sigue siendo un hecho tanto habitual como peligroso en pleno 2022 como lo es también el que diferentes usuarios utilicen contraseñas comunes. De ahí los típicos ránkings anuales de contraseñas débiles más utilizadas, etc... En eso se basa el ataque informático del que hablaremos hoy, el de Password Spraying.
Este tipo de ataque es una variante del ataque de fuerza bruta. Por lo general en este tipo de ataques de credenciales lo que se hace es intentar entrar a una cuenta utilizando un diccionario de contraseñas, en el caso del password spraying es al revés, se intenta utilizar una contraseña contra un diccionario de cuentas de usuario. De esta manera, se intenta evitar el bloqueo por intentos erróneos de contraseña.
En el caso que una aplicación o un servicio de manera automática generen cuentas de usuario con una misma contraseña genérica será una claro objetivo para los atacantes utilizando esta técnica. De la misma manera si como administradores utilizamos esta misma rutina pondremos en claro riesgo nuestros sistemas.
Esta técnica lejos de ser utilizada únicamente vía web en una clásica página de login, lo es contra un gran número de servicios que podemos encontrar en cualquier red, especialmente aquellos más extendidos y que suelen funcionar en puertos estándar. Podemos destacar algunos ejemplos como SSH, Telnet, FTP, NetBIOS, SMB, LDAP, RDP, MSSQL, MYSQL o VNC.
Como podéis imaginar el potencial de esta técnica no solo para conseguir un acceso inicial a la red sino para un posterior movimiento lateral es enorme. Por este motivo multitud de grupos ATP cuentan con herramientas capaces de lanzar este tipo de ataques en paralelo a otras acciones.
Mitigación de Password Spraying
Evitar o limitar la efectividad de esta técnica se basa en una serie de factores digamos básicos de ciberseguridad dentro de nuestra red:
Políticas de uso
Siempre debemos establecer políticas para proteger el uso de nuestros cuentas. Esto ayuda a prevenir en buena medida los ataques por fuerza bruta. Estas deben aplicarse obviamente no solo a intentos fallidos de contraseña sino a intentos fallidos en diferentes cuentas. Cierto es que muchas de las implementaciones de esta técnica se hacen por ejemplo de manera que se lanzan contados ataques con pausas entre los mismos para dificultar su detección, pero esto a la vez nos dará más tiempo para localizarlos.
Hay que tener en cuenta también que estás políticas de bloqueo pueden volverse en contra nuestra si a raíz de un ataque de estas características acabamos con todas nuestras cuentas bloqueadas incluso para los usuarios legítimos si al atacante realiza a través del password spraying un ataque DoS.
Políticas de contraseña
Si evitamos que nuestros usuarios puedan establecer contraseñas débiles reduciremos la probabilidad que estás se encuentren en algún diccionario y sean utilizadas con éxito contras nuestros servicios.
MFA
Siempre que sea posible debemos promover el uso de MFA para hacer la vida más difícil a los atacantes y dentro de este ámbito como explicábamos en el artículo sobre FIDO2 aquellos métodos más seguros.
Logs
Una óptima recolección y análisis de logs en nuestros servicios puede ser el factor determinante para no tanto evitar que se produzca el ataque sino para poder localizarlo y actuar contra él lo antes posible. Por lo que cualquier actividad anómala en cuanto a intentos fallidos de log in debería encender una alarma en nuestra red.
Fuente:
OWASP
