Pass-the-Hash
Was ist Pass-the-Hash?
Pass-the-HashCredential-Reuse-Angriff, der sich an Windows-Systemen mit einem gestohlenen NTLM-Hash anstelle des Klartextpassworts anmeldet.
Pass-the-Hash (PtH) nutzt aus, dass NTLM den Passwort-Hash als das eigentliche Authentifizierungsmaterial behandelt: Jeder Prozess, der den Hash besitzt, kann sich anmelden, ohne das Passwort zu kennen. Angreifer extrahieren Hashes aus dem LSASS-Speicher oder der SAM-Datenbank (oft mit Mimikatz oder secretsdump) und spielen sie gegen SMB, WMI oder Remote-Management-Dienste zurueck, um sich lateral zu bewegen. MITRE ATT&CK fuehrt die Technik als T1550.002 unter Use Alternate Authentication Material. Schutzmassnahmen umfassen Credential Guard, lokale Admin-Trennung per LAPS, ein Tiering-Modell, das Deaktivieren von NTLM und das Monitoring von LSASS-Zugriffen und ungewoehnlichen Logons.
● Beispiele
- 01
Ein Operator dumpt NTLM-Hashes mit Mimikatz und authentifiziert sich damit per SMB an weiteren Servern.
- 02
Wiederverwendung eines lokalen Admin-Hashes im gesamten Netz, um von einer Workstation auf einen Fileserver zu wechseln.
● Häufige Fragen
Was ist Pass-the-Hash?
Credential-Reuse-Angriff, der sich an Windows-Systemen mit einem gestohlenen NTLM-Hash anstelle des Klartextpassworts anmeldet. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Pass-the-Hash?
Credential-Reuse-Angriff, der sich an Windows-Systemen mit einem gestohlenen NTLM-Hash anstelle des Klartextpassworts anmeldet.
Wie schützt man sich gegen Pass-the-Hash?
Schutzmaßnahmen gegen Pass-the-Hash kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Pass-the-Hash?
Übliche alternative Bezeichnungen: PtH.