Pass-the-Ticket
¿Qué es Pass-the-Ticket?
Pass-the-TicketAtaque sobre Active Directory que reutiliza un ticket Kerberos robado para suplantar a un usuario o servicio sin conocer la contrasena.
Pass-the-Ticket (PtT) abusa de Kerberos al inyectar un TGT o un ticket de servicio previamente sustraido en la sesion actual y usarlo para acceder a recursos como si fuera el principal original. Los atacantes recolectan tickets de la memoria LSASS o de ficheros kirbi en equipos comprometidos, normalmente con Mimikatz o Rubeus, y los inyectan en otra maquina para autenticarse contra recursos SMB, MSSQL o controladores de dominio. MITRE ATT&CK lo identifica como T1550.003 (Use Alternate Authentication Material: Pass the Ticket). Las defensas incluyen Credential Guard, tickets de corta duracion, el grupo Protected Users para cuentas privilegiadas, vigilancia de eventos Kerberos y deteccion de accesos a memoria estilo Mimikatz.
● Ejemplos
- 01
Robar el TGT de un administrador de dominio desde un puesto y reutilizarlo para conectarse a un controlador de dominio.
- 02
Exportar tickets con Rubeus e inyectarlos en una maquina del atacante para consultar AD.
● Preguntas frecuentes
¿Qué es Pass-the-Ticket?
Ataque sobre Active Directory que reutiliza un ticket Kerberos robado para suplantar a un usuario o servicio sin conocer la contrasena. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Pass-the-Ticket?
Ataque sobre Active Directory que reutiliza un ticket Kerberos robado para suplantar a un usuario o servicio sin conocer la contrasena.
¿Cómo funciona Pass-the-Ticket?
Pass-the-Ticket (PtT) abusa de Kerberos al inyectar un TGT o un ticket de servicio previamente sustraido en la sesion actual y usarlo para acceder a recursos como si fuera el principal original. Los atacantes recolectan tickets de la memoria LSASS o de ficheros kirbi en equipos comprometidos, normalmente con Mimikatz o Rubeus, y los inyectan en otra maquina para autenticarse contra recursos SMB, MSSQL o controladores de dominio. MITRE ATT&CK lo identifica como T1550.003 (Use Alternate Authentication Material: Pass the Ticket). Las defensas incluyen Credential Guard, tickets de corta duracion, el grupo Protected Users para cuentas privilegiadas, vigilancia de eventos Kerberos y deteccion de accesos a memoria estilo Mimikatz.
¿Cómo defenderse de Pass-the-Ticket?
Las defensas contra Pass-the-Ticket combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Pass-the-Ticket?
Nombres alternativos comunes: PtT.
● Términos relacionados
- identity-access№ 584
Kerberos
Protocolo de autenticación de red basado en tickets que utiliza criptografía simétrica y un Centro de Distribución de Claves de confianza para ofrecer inicio de sesión único seguro.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacion de credenciales que autentica en sistemas Windows usando un hash NTLM robado en lugar de la contrasena en claro.
- attacks№ 447
Golden Ticket
Ticket TGT de Kerberos falsificado, firmado con el hash de la cuenta krbtgt, que permite al atacante suplantar a cualquier principal del dominio.
- attacks№ 1045
Silver Ticket
Ticket de servicio Kerberos (TGS) falsificado con el hash de una cuenta de servicio concreta, que concede acceso silencioso solo a ese servicio.
- defense-ops№ 682
Mimikatz
Herramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS.
- identity-access№ 013
Active Directory
Servicio de directorio empresarial de Microsoft para redes Windows que ofrece autenticación, autorización y gestión de políticas centralizadas para usuarios, equipos y recursos.