Pass-the-Ticket
¿Qué es Pass-the-Ticket?
Pass-the-TicketAtaque sobre Active Directory que reutiliza un ticket Kerberos robado para suplantar a un usuario o servicio sin conocer la contrasena.
Pass-the-Ticket (PtT) abusa de Kerberos al inyectar un TGT o un ticket de servicio previamente sustraido en la sesion actual y usarlo para acceder a recursos como si fuera el principal original. Los atacantes recolectan tickets de la memoria LSASS o de ficheros kirbi en equipos comprometidos, normalmente con Mimikatz o Rubeus, y los inyectan en otra maquina para autenticarse contra recursos SMB, MSSQL o controladores de dominio. MITRE ATT&CK lo identifica como T1550.003 (Use Alternate Authentication Material: Pass the Ticket). Las defensas incluyen Credential Guard, tickets de corta duracion, el grupo Protected Users para cuentas privilegiadas, vigilancia de eventos Kerberos y deteccion de accesos a memoria estilo Mimikatz.
● Ejemplos
- 01
Robar el TGT de un administrador de dominio desde un puesto y reutilizarlo para conectarse a un controlador de dominio.
- 02
Exportar tickets con Rubeus e inyectarlos en una maquina del atacante para consultar AD.
● Preguntas frecuentes
¿Qué es Pass-the-Ticket?
Ataque sobre Active Directory que reutiliza un ticket Kerberos robado para suplantar a un usuario o servicio sin conocer la contrasena. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Pass-the-Ticket?
Ataque sobre Active Directory que reutiliza un ticket Kerberos robado para suplantar a un usuario o servicio sin conocer la contrasena.
¿Cómo defenderse de Pass-the-Ticket?
Las defensas contra Pass-the-Ticket combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Pass-the-Ticket?
Nombres alternativos comunes: PtT.