Pass-the-Ticket
O que é Pass-the-Ticket?
Pass-the-TicketAtaque ao Active Directory que reutiliza um ticket Kerberos roubado para se fazer passar por um utilizador ou servico sem conhecer a palavra-passe.
O Pass-the-Ticket (PtT) abusa do Kerberos ao injetar um TGT ou ticket de servico previamente roubado na sessao de logon corrente e usa-o para aceder a recursos como o principal original. Os atacantes recolhem tickets na memoria do LSASS ou em ficheiros kirbi em hosts comprometidos, tipicamente com Mimikatz ou Rubeus, e injetam-nos noutra maquina para se autenticarem em partilhas SMB, MSSQL ou em DCs. O MITRE ATT&CK regista a tecnica como T1550.003 (Use Alternate Authentication Material: Pass the Ticket). As defesas incluem Credential Guard, tickets de curta duracao, o grupo Protected Users para contas privilegiadas, monitorizacao de eventos Kerberos e deteccao de acessos a memoria ao estilo Mimikatz.
● Exemplos
- 01
Roubar o TGT de um admin do dominio numa estacao e reutiliza-lo para aceder a um controlador de dominio.
- 02
Exportar tickets com Rubeus e injeta-los num host do atacante para consultar o AD.
● Perguntas frequentes
O que é Pass-the-Ticket?
Ataque ao Active Directory que reutiliza um ticket Kerberos roubado para se fazer passar por um utilizador ou servico sem conhecer a palavra-passe. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Pass-the-Ticket?
Ataque ao Active Directory que reutiliza um ticket Kerberos roubado para se fazer passar por um utilizador ou servico sem conhecer a palavra-passe.
Como funciona Pass-the-Ticket?
O Pass-the-Ticket (PtT) abusa do Kerberos ao injetar um TGT ou ticket de servico previamente roubado na sessao de logon corrente e usa-o para aceder a recursos como o principal original. Os atacantes recolhem tickets na memoria do LSASS ou em ficheiros kirbi em hosts comprometidos, tipicamente com Mimikatz ou Rubeus, e injetam-nos noutra maquina para se autenticarem em partilhas SMB, MSSQL ou em DCs. O MITRE ATT&CK regista a tecnica como T1550.003 (Use Alternate Authentication Material: Pass the Ticket). As defesas incluem Credential Guard, tickets de curta duracao, o grupo Protected Users para contas privilegiadas, monitorizacao de eventos Kerberos e deteccao de acessos a memoria ao estilo Mimikatz.
Como se defender contra Pass-the-Ticket?
As defesas contra Pass-the-Ticket costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Pass-the-Ticket?
Nomes alternativos comuns: PtT.
● Termos relacionados
- identity-access№ 584
Kerberos
Protocolo de autenticação de rede baseado em tickets que utiliza criptografia simétrica e um Centro de Distribuição de Chaves confiável para oferecer SSO seguro entre serviços.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacao de credenciais que se autentica em sistemas Windows usando um hash NTLM roubado em vez da senha em texto claro.
- attacks№ 447
Golden Ticket
TGT Kerberos forjado, assinado com o hash da conta krbtgt, que permite ao atacante personificar qualquer principal do dominio.
- attacks№ 1045
Silver Ticket
Ticket de servico Kerberos (TGS) forjado com o hash de uma conta de servico alvo, concedendo acesso silencioso apenas a esse servico.
- defense-ops№ 682
Mimikatz
Ferramenta open source de pos-exploracao para Windows que extrai senhas em texto claro, hashes, tickets Kerberos e outras credenciais da memoria e do LSASS.
- identity-access№ 013
Active Directory
Serviço de diretório empresarial da Microsoft para redes Windows, que fornece autenticação, autorização e gestão de políticas centralizada para utilizadores, computadores e recursos.