Pass-the-Ticket
Was ist Pass-the-Ticket?
Pass-the-TicketActive-Directory-Angriff, der ein gestohlenes Kerberos-Ticket erneut nutzt, um sich als Benutzer oder Dienst auszugeben, ohne das Passwort zu kennen.
Pass-the-Ticket (PtT) missbraucht Kerberos, indem ein zuvor gestohlenes TGT oder Service-Ticket in die aktuelle Logon-Sitzung injiziert und damit auf Ressourcen unter der Identitaet des urspruenglichen Prinzipals zugegriffen wird. Tickets werden meist mit Mimikatz oder Rubeus aus dem LSASS-Speicher oder aus kirbi-Dateien kompromittierter Hosts gewonnen und dann auf einer anderen Maschine injiziert, um sich an SMB-Freigaben, MSSQL oder Domaenencontrollern zu authentifizieren. MITRE ATT&CK fuehrt das Verfahren als T1550.003 (Use Alternate Authentication Material: Pass the Ticket). Schutz bieten Credential Guard, kurze Ticket-Lifetimes, die Protected-Users-Gruppe fuer privilegierte Konten, Kerberos-Eventueberwachung und das Erkennen von Mimikatz-typischen Speicherzugriffen.
● Beispiele
- 01
Diebstahl des TGT eines Domain-Admins von einer Workstation und Wiederverwendung am Domain Controller.
- 02
Export von Tickets mit Rubeus und Injektion auf einem Angreifer-Host, um das AD abzufragen.
● Häufige Fragen
Was ist Pass-the-Ticket?
Active-Directory-Angriff, der ein gestohlenes Kerberos-Ticket erneut nutzt, um sich als Benutzer oder Dienst auszugeben, ohne das Passwort zu kennen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Pass-the-Ticket?
Active-Directory-Angriff, der ein gestohlenes Kerberos-Ticket erneut nutzt, um sich als Benutzer oder Dienst auszugeben, ohne das Passwort zu kennen.
Wie schützt man sich gegen Pass-the-Ticket?
Schutzmaßnahmen gegen Pass-the-Ticket kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Pass-the-Ticket?
Übliche alternative Bezeichnungen: PtT.