Che cos’è il Password Spraying?

Gli attacchi di password spraying comportano il tentativo di diverse password comuni su molti account diversi. Ad esempio, un attaccante potrebbe provare ‘password’, ‘123456’ e altre password comuni su ogni account noto all’interno di un’organizzazione. I bersagli comuni includono strumenti di accesso remoto (VPN, RDP, ecc.), email aziendale (M365, Google Workspace) e altri portali di accesso pubblicamente accessibili.

Questa tattica è progettata per eludere le difese che cercano un gran numero di tentativi di accesso falliti prima di bloccare un account. Se ha successo, l’attaccante può sfruttare l’accesso non autorizzato per accedere a dati sensibili, piantare malware o espandere la propria presenza nei sistemi dell’organizzazione.

Punti Chiave

• Il password spraying prova alcune password probabili su molti nomi utente.
• La tattica è progettata per evitare blocchi e eludere la semplice rilevazione per account.
• I bersagli comuni includono Active Directory, piattaforme di identità cloud, Microsoft 365, VPN e altri servizi di accesso remoto.
• Ripetuti fallimenti di autenticazione a basso volume su molti account sono un segnale di rilevamento fondamentale.
• Una politica di password forte, MFA e monitoraggio centralizzato dell’autenticazione possono ridurre l’esposizione, ma nessun controllo singolo elimina il rischio.

Come Funziona il Password Spraying?

Il password spraying comporta un attaccante che lavora su un elenco di nomi utente noti, provando un elenco di password comuni per ciascuno. Spesso, provano una password alla volta su tutti gli account per evitare più tentativi di accesso falliti per un particolare account in un breve periodo di tempo. Questo tipo di attacco funziona perché l’uso di password comuni e riutilizzate è diffuso.

Gli Attaccanti Raccolgono Nomi Utente e Account

Gli attacchi di password spraying sfruttano il fatto che molte aziende hanno convenzioni di denominazione standardizzate, come nome-iniziale-cognome. Gli attaccanti potrebbero indovinare convenzioni comuni o utilizzare un singolo indirizzo email noto per estrapolare nomi utente.

Un elenco di nomi di dipendenti può essere raccolto da fonti pubblicamente disponibili. Ad esempio, i siti web delle aziende, i profili LinkedIn e altre pagine possono fornire un elenco parziale di dipendenti, che è sufficiente per questo tipo di attacco.

Gli attaccanti provano password comuni

A meno che non utilizzino un gestore di password, i dipendenti devono essere in grado di ricordare le proprie password, e le password deboli e comuni sono più facili da ricordare. Esempi comuni includono password stagionali (Primavera26), quelle a tema organizzativo e scelte simili.

Questi tipi di attacchi sfruttano la probabilità che le persone selezionino una password debole e prevedibile. Se un’organizzazione non implementa e fa rispettare politiche di password forti, bastano spesso solo pochi tentativi per account per ottenere accesso.

Come il Password Spraying è diverso dal Brute Force e dal Credential Stuffing

Gli attacchi di brute force includono alcune tecniche diverse, tra cui il password spraying e il credential stuffing. Il password spraying si differenzia da un attacco brute force tradizionale in quanto utilizza poche password per molti nomi utente piuttosto che molte password diverse per un particolare account.

Il credential stuffing utilizza password che sono state esposte in violazioni, cercando password riutilizzate su più account. Il password spraying testa password deboli, cercando l’uso di password comuni per un account aziendale.

Cosa rende il Password Spraying più difficile da rilevare?

Gli attacchi tradizionali di brute force e credential stuffing cercano di violare un particolare account, creando un gran numero di tentativi di accesso falliti per quell’account. Al contrario, il password spraying introduce solo pochi tentativi di accesso falliti per ciascun account che prende di mira.

Questo rende il password spraying più difficile da rilevare rispetto a questi altri attacchi. Alcuni accessi falliti potrebbero essere attribuiti a utenti che digitano erroneamente le proprie password, specialmente se sono distribuiti nel tempo, e un’organizzazione sta esaminando un singolo account in isolamento.

Obiettivi comuni del Password Spraying

Gli attacchi di password spraying prendono di mira comunemente portali di accesso pubblicamente accessibili che servono un gran numero di utenti. Esempi comuni includono:

• Strumenti di accesso remoto (VPN, RDP, ecc.)
• Fornitore di identità/SSO
• Ambienti Active Directory

Poiché questo attacco è utilizzato per l’accesso iniziale, l’attaccante ha bisogno di portali di accesso che siano pubblicamente accessibili. Grandi popolazioni di utenti aumentano anche la probabilità di successo poiché un attaccante prova solo alcune password per obiettivo.

Ambienti Active Directory

Molte organizzazioni utilizzano Active Directory (AD) per la gestione dell’identità, il che significa che contengono molti account aziendali validi. Gli attaccanti possono utilizzare i servizi connessi a AD e i flussi di lavoro basati su Kerberos come obiettivi per i loro attacchi di password spraying.

Poiché AD centralizza la gestione dell’identità, una singola password compromessa fornisce un ampio accesso ai sistemi e alle applicazioni aziendali. Da lì, gli attaccanti possono accedere ai sistemi da remoto e tentare di elevare i loro privilegi o muoversi lateralmente attraverso la rete.

VPN e Portali di Accesso Remoto

Le VPN e altri portali di accesso remoto sono progettati per consentire a un dipendente di accedere da remoto a un ambiente aziendale. Se un attaccante riesce a indovinare la password di un dipendente, gode dello stesso livello di accesso.

Anche se non riusciti, gli attacchi di password spraying possono avere impatti aziendali significativi. Introducono rumore nei registri di autenticazione, causano blocchi degli utenti e mettono ulteriore pressione sui team di sicurezza.

Segnali che aiutano a rilevare il password spraying

Il password spraying può essere rilevato utilizzando fonti di dati che registrano i tentativi di accesso falliti per gli account aziendali. Questi potrebbero includere registri e avvisi dai sistemi di gestione dell’identità e degli accessi (IAM) aziendali e soluzioni di accesso remoto come VPN e RDP.

Identificare gli attacchi richiede di correlare i dati e identificare schemi attraverso più account utente, poiché un particolare account potrebbe mostrare solo alcuni tentativi di accesso falliti. I segnali di avvertimento coinvolgono più accessi falliti da parte di diversi account che sono raggruppati nel tempo, potenzialmente provenienti da fonti distribuite e insolite.

Attività di Autenticazione Sospette

Gli attacchi di password spraying generano un gran numero di tentativi di accesso falliti per ogni successo. Questi tentativi avranno probabilmente tempistiche, infrastrutture di origine e modelli di user-agent simili.

Molteplici fallimenti per account

Per questo tipo di attacco, pochi fallimenti per account sono più sospetti di un gran numero di fallimenti su un particolare account. Questo perché gli attaccanti provano solo alcune password per account piuttosto che cercare di forzare una particolare. I team di sicurezza dovrebbero correlare i dati tra più account per identificare attacchi che potrebbero non attivare una soglia per nessuno di essi.

Controlli di sicurezza che riducono il rischio di password spraying

Gli attacchi di password spraying approfittano degli account utente che si basano esclusivamente su password deboli per l’autenticazione. I modi in cui le organizzazioni possono mitigare questo rischio includono:

• Politiche di password forti e applicazione
• Autenticazione a più fattori
• Rafforzamento dei servizi di autenticazione esposti
• Monitoraggio e allerta di attività di accesso insolite

Politiche di password forti 

I password sprayers cercano di identificare e accedere a account con password deboli e comuni. Le politiche di password forti riducono la fattibilità di questo attacco allontanando i dipendenti da queste password facilmente indovinabili. Tuttavia, queste politiche sono utili solo se vengono applicate, non solo un documento con linee guida sulle password.

Autenticazione a più fattori

I password sprayers si basano sul fatto che una password compromessa è sufficiente per accedere a un account. L’MFA aumenta la difficoltà di questo attacco costringendo l’attaccante a rubare anche codici MFA validi per ogni tentativo e uso successivo dell’account. Sebbene l’MFA non elimini la minaccia, rende l’attacco molto più difficile da eseguire.

Configurazioni sicure e monitoraggio 

I servizi di autenticazione esposti al pubblico sono un obiettivo comune per il password spraying perché chiunque può testare le password su questi servizi. Implementare configurazioni sicure e monitorare aiuta a ridurre la minaccia segnalando o bloccando ripetuti accessi falliti che sono un marchio di fabbrica di questa tecnica di attacco.

Perché il Password Spraying funziona ancora

Il Password Spraying funziona ancora perché le persone scelgono comunemente password deboli o prevedibili per aiutarle a ricordare come accedere ai loro account. Poiché le imprese hanno un gran numero di account con nomi utente prevedibili, gli attaccanti possono approfittare del fatto che almeno un account è probabilmente protetto da una password debole. I portali di autenticazione esposti al pubblico offrono agli attaccanti l’opportunità di testare potenziali password, e la visibilità incompleta riduce il rischio che le organizzazioni identifichino questi attacchi distribuiti prima che sia troppo tardi.

Perché il Password Spraying è importante per la sicurezza dell’identità

Il Password Spraying è un attacco di forza bruta progettato per eludere le soglie e altri metodi di identificazione degli attacchi di indovinamento delle password basati su ripetuti fallimenti di accesso. Finché le password deboli sono comuni e ritenute sicure per proteggere gli account aziendali, questo attacco continuerà a funzionare.

Le organizzazioni necessitano di una visibilità ampia sull’autenticazione e di una comprensione dei vettori e dei modelli di attacco comuni. Inoltre, le aziende necessitano di una forte sicurezza nell’autenticazione, come l’autenticazione multifattoriale (MFA) e politiche di password robuste o accesso senza password.

FAQ

Cos’è il Password Spraying in termini semplici?

Il Password Spraying prova alcune password comuni su molti diversi account utente. Questo attacco massimizza la probabilità che almeno un account abbia una password indovinabile ed elude i metodi basati su soglie per rilevare attacchi di indovinamento delle password.

Il Password Spraying è un tipo di attacco di forza bruta?

Sì, il Password Spraying è un particolare tipo di attacco di indovinamento delle password di forza bruta. Tuttavia, invece di provare molte password per un particolare account, prova alcune password diverse su molti account diversi.

In che modo il Password Spraying è diverso dallo stuffing delle credenziali?

Il Password Spraying prova alcune password comuni su molti diversi account, mirando all’uso di password deboli. Lo stuffing delle credenziali utilizza coppie nome utente/password da violazioni di password per approfittare del riutilizzo delle credenziali.

Può l’MFA fermare il Password Spraying?

L’autenticazione a più fattori riduce il rischio di attacchi di password spraying poiché costringe gli aggressori a rubare un ulteriore fattore di autenticazione per indovinare le password e accedere agli account compromessi. Tuttavia, non è perfetta poiché molte forme comuni di autenticazione a più fattori possono essere eluse, rendendo ancora importante il monitoraggio e la risposta per la sicurezza dell’autenticazione.

Cosa dovrebbero monitorare i team per il password spraying?

La rilevazione del password spraying richiede il monitoraggio e la correlazione di attività di accesso insolite su molti account. Questi attacchi causeranno un picco complessivo nei tentativi di accesso falliti, con alcuni tentativi falliti per ciascuno di molti account.