Pass-the-Hash
Qu'est-ce que Pass-the-Hash ?
Pass-the-HashAttaque par reutilisation d'identifiants qui s'authentifie sur des systemes Windows en utilisant un hash NTLM derobe a la place du mot de passe en clair.
Pass-the-Hash (PtH) exploite le fait que l'authentification NTLM traite le hash du mot de passe comme l'identifiant effectif: tout processus detenant le hash peut s'authentifier sans connaitre le mot de passe. Les attaquants extraient des hashes depuis la memoire de LSASS ou la base SAM (souvent avec Mimikatz ou secretsdump), puis les rejouent contre SMB, WMI ou des services d'administration distante pour effectuer un deplacement lateral. MITRE ATT&CK suit cette technique sous T1550.002 (Use Alternate Authentication Material). Les defenses comprennent l'activation de Credential Guard, la restriction de la reutilisation des comptes administrateurs locaux via LAPS, une administration en tiers, la desactivation de NTLM lorsque possible, et la surveillance des acces a LSASS et des connexions anormales.
● Exemples
- 01
Un operateur extrait des hashes NTLM avec Mimikatz et s'authentifie sur d'autres serveurs via SMB.
- 02
Reutiliser un hash d'administrateur local sur tout le parc pour pivoter d'un poste vers un serveur de fichiers.
● Questions fréquentes
Qu'est-ce que Pass-the-Hash ?
Attaque par reutilisation d'identifiants qui s'authentifie sur des systemes Windows en utilisant un hash NTLM derobe a la place du mot de passe en clair. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Pass-the-Hash ?
Attaque par reutilisation d'identifiants qui s'authentifie sur des systemes Windows en utilisant un hash NTLM derobe a la place du mot de passe en clair.
Comment fonctionne Pass-the-Hash ?
Pass-the-Hash (PtH) exploite le fait que l'authentification NTLM traite le hash du mot de passe comme l'identifiant effectif: tout processus detenant le hash peut s'authentifier sans connaitre le mot de passe. Les attaquants extraient des hashes depuis la memoire de LSASS ou la base SAM (souvent avec Mimikatz ou secretsdump), puis les rejouent contre SMB, WMI ou des services d'administration distante pour effectuer un deplacement lateral. MITRE ATT&CK suit cette technique sous T1550.002 (Use Alternate Authentication Material). Les defenses comprennent l'activation de Credential Guard, la restriction de la reutilisation des comptes administrateurs locaux via LAPS, une administration en tiers, la desactivation de NTLM lorsque possible, et la surveillance des acces a LSASS et des connexions anormales.
Comment se défendre contre Pass-the-Hash ?
Les défenses contre Pass-the-Hash combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Pass-the-Hash ?
Noms alternatifs courants : PtH.
● Termes liés
- defense-ops№ 682
Mimikatz
Outil open source de post-exploitation Windows qui extrait mots de passe en clair, hash, tickets Kerberos et autres identifiants depuis la memoire et LSASS.
- identity-access№ 584
Kerberos
Protocole d'authentification réseau à base de tickets utilisant la cryptographie symétrique et un Centre de Distribution de Clés de confiance pour offrir une authentification unique sécurisée.
- defense-ops№ 606
Mouvement latéral
Tactique MITRE ATT&CK (TA0008) couvrant les techniques permettant à un attaquant de rebondir d'un hôte compromis vers d'autres systèmes de l'environnement.
- defense-ops№ 229
Accès aux identifiants
Tactique MITRE ATT&CK (TA0006) couvrant les techniques utilisées pour voler des noms de compte, mots de passe, jetons et autres secrets.
- identity-access№ 013
Active Directory
Service d'annuaire d'entreprise de Microsoft pour les réseaux Windows, qui assure l'authentification, l'autorisation et la gestion centralisée des stratégies pour utilisateurs, machines et ressources.
- attacks№ 791
Pass-the-Ticket
Attaque sur Active Directory qui rejoue un ticket Kerberos derobe afin d'usurper l'identite d'un utilisateur ou d'un service sans connaitre son mot de passe.
● Voir aussi
- № 107BloodHound
- № 746Attaque NTLM Relay
- № 1057Attaque SMB Relay
- № 620Empoisonnement LLMNR
- № 715Empoisonnement NBT-NS
- № 924Attaque Responder