Pass-the-Ticket
Qu'est-ce que Pass-the-Ticket ?
Pass-the-TicketAttaque sur Active Directory qui rejoue un ticket Kerberos derobe afin d'usurper l'identite d'un utilisateur ou d'un service sans connaitre son mot de passe.
Pass-the-Ticket (PtT) detourne Kerberos en injectant un TGT ou un ticket de service vole dans la session de logon courante et en l'utilisant pour acceder a des ressources sous l'identite d'origine. Les attaquants collectent les tickets dans la memoire de LSASS ou via des fichiers kirbi sur des hotes compromis, typiquement avec Mimikatz ou Rubeus, puis les injectent sur une autre machine pour s'authentifier aupres de partages SMB, de MSSQL ou de DC. MITRE ATT&CK suit la technique sous T1550.003 (Use Alternate Authentication Material: Pass the Ticket). Les defenses incluent Credential Guard, des durees de tickets courtes, le groupe Protected Users pour les comptes privilegies, le suivi des evenements Kerberos et la detection des acces memoire de type Mimikatz.
● Exemples
- 01
Voler le TGT d'un admin du domaine sur un poste et le rejouer pour se connecter a un controleur de domaine.
- 02
Exporter des tickets avec Rubeus et les injecter sur un hote pilote par l'attaquant pour interroger l'AD.
● Questions fréquentes
Qu'est-ce que Pass-the-Ticket ?
Attaque sur Active Directory qui rejoue un ticket Kerberos derobe afin d'usurper l'identite d'un utilisateur ou d'un service sans connaitre son mot de passe. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Pass-the-Ticket ?
Attaque sur Active Directory qui rejoue un ticket Kerberos derobe afin d'usurper l'identite d'un utilisateur ou d'un service sans connaitre son mot de passe.
Comment fonctionne Pass-the-Ticket ?
Pass-the-Ticket (PtT) detourne Kerberos en injectant un TGT ou un ticket de service vole dans la session de logon courante et en l'utilisant pour acceder a des ressources sous l'identite d'origine. Les attaquants collectent les tickets dans la memoire de LSASS ou via des fichiers kirbi sur des hotes compromis, typiquement avec Mimikatz ou Rubeus, puis les injectent sur une autre machine pour s'authentifier aupres de partages SMB, de MSSQL ou de DC. MITRE ATT&CK suit la technique sous T1550.003 (Use Alternate Authentication Material: Pass the Ticket). Les defenses incluent Credential Guard, des durees de tickets courtes, le groupe Protected Users pour les comptes privilegies, le suivi des evenements Kerberos et la detection des acces memoire de type Mimikatz.
Comment se défendre contre Pass-the-Ticket ?
Les défenses contre Pass-the-Ticket combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Pass-the-Ticket ?
Noms alternatifs courants : PtT.
● Termes liés
- identity-access№ 584
Kerberos
Protocole d'authentification réseau à base de tickets utilisant la cryptographie symétrique et un Centre de Distribution de Clés de confiance pour offrir une authentification unique sécurisée.
- attacks№ 790
Pass-the-Hash
Attaque par reutilisation d'identifiants qui s'authentifie sur des systemes Windows en utilisant un hash NTLM derobe a la place du mot de passe en clair.
- attacks№ 447
Golden Ticket
TGT Kerberos forge a l'aide du hash du compte krbtgt, permettant a un attaquant d'usurper n'importe quel principal du domaine.
- attacks№ 1045
Silver Ticket
Ticket de service Kerberos (TGS) forge a partir du hash d'un compte de service cible, donnant un acces silencieux a ce seul service.
- defense-ops№ 682
Mimikatz
Outil open source de post-exploitation Windows qui extrait mots de passe en clair, hash, tickets Kerberos et autres identifiants depuis la memoire et LSASS.
- identity-access№ 013
Active Directory
Service d'annuaire d'entreprise de Microsoft pour les réseaux Windows, qui assure l'authentification, l'autorisation et la gestion centralisée des stratégies pour utilisateurs, machines et ressources.