Pass-the-Hash
¿Qué es Pass-the-Hash?
Pass-the-HashAtaque de reutilizacion de credenciales que autentica en sistemas Windows usando un hash NTLM robado en lugar de la contrasena en claro.
Pass-the-Hash (PtH) aprovecha que la autenticacion NTLM trata el hash como la credencial efectiva: cualquier proceso que posea el hash puede autenticarse sin conocer la contrasena. Los atacantes extraen hashes de la memoria de LSASS o de la base SAM (habitualmente con Mimikatz o secretsdump) y los reproducen contra SMB, WMI o servicios de administracion remota para desplazarse lateralmente. MITRE ATT&CK lo identifica como T1550.002 dentro de Use Alternate Authentication Material. Las defensas incluyen activar Credential Guard, limitar la reutilizacion de administradores locales con LAPS, aplicar administracion por niveles, deshabilitar NTLM cuando sea posible y vigilar accesos a LSASS y sesiones anomalas.
● Ejemplos
- 01
Un operador extrae hashes NTLM con Mimikatz y se autentica en otros servidores via SMB.
- 02
Reutilizar el hash de administrador local en toda la red para saltar de una estacion a un servidor de ficheros.
● Preguntas frecuentes
¿Qué es Pass-the-Hash?
Ataque de reutilizacion de credenciales que autentica en sistemas Windows usando un hash NTLM robado en lugar de la contrasena en claro. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Pass-the-Hash?
Ataque de reutilizacion de credenciales que autentica en sistemas Windows usando un hash NTLM robado en lugar de la contrasena en claro.
¿Cómo funciona Pass-the-Hash?
Pass-the-Hash (PtH) aprovecha que la autenticacion NTLM trata el hash como la credencial efectiva: cualquier proceso que posea el hash puede autenticarse sin conocer la contrasena. Los atacantes extraen hashes de la memoria de LSASS o de la base SAM (habitualmente con Mimikatz o secretsdump) y los reproducen contra SMB, WMI o servicios de administracion remota para desplazarse lateralmente. MITRE ATT&CK lo identifica como T1550.002 dentro de Use Alternate Authentication Material. Las defensas incluyen activar Credential Guard, limitar la reutilizacion de administradores locales con LAPS, aplicar administracion por niveles, deshabilitar NTLM cuando sea posible y vigilar accesos a LSASS y sesiones anomalas.
¿Cómo defenderse de Pass-the-Hash?
Las defensas contra Pass-the-Hash combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Pass-the-Hash?
Nombres alternativos comunes: PtH.
● Términos relacionados
- defense-ops№ 682
Mimikatz
Herramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS.
- identity-access№ 584
Kerberos
Protocolo de autenticación de red basado en tickets que utiliza criptografía simétrica y un Centro de Distribución de Claves de confianza para ofrecer inicio de sesión único seguro.
- defense-ops№ 606
Movimiento Lateral
Táctica MITRE ATT&CK (TA0008) que cubre las técnicas con las que el atacante pivota de un host comprometido a otros sistemas del entorno.
- defense-ops№ 229
Acceso a Credenciales
Táctica MITRE ATT&CK (TA0006) que cubre las técnicas usadas para robar nombres de cuenta, contraseñas, tokens y otros secretos.
- identity-access№ 013
Active Directory
Servicio de directorio empresarial de Microsoft para redes Windows que ofrece autenticación, autorización y gestión de políticas centralizadas para usuarios, equipos y recursos.
- attacks№ 791
Pass-the-Ticket
Ataque sobre Active Directory que reutiliza un ticket Kerberos robado para suplantar a un usuario o servicio sin conocer la contrasena.
● Véase también
- № 107BloodHound
- № 746Ataque de NTLM Relay
- № 1057Ataque de SMB Relay
- № 620Envenenamiento LLMNR
- № 715Envenenamiento NBT-NS
- № 924Ataque con Responder