Over Pass the Hash/Pass the Key
Overpass The Hash/Pass The Key (PTK)
L'attaque Overpass The Hash/Pass The Key (PTK) est conçue pour les environnements où le protocole NTLM traditionnel est restreint et où l'authentification Kerberos prend le dessus. Cette attaque exploite le hachage NTLM ou les clés AES d'un utilisateur pour solliciter des tickets Kerberos, permettant un accès non autorisé aux ressources au sein d'un réseau.
Pour exécuter cette attaque, la première étape consiste à acquérir le hachage NTLM ou le mot de passe du compte de l'utilisateur ciblé. Après avoir sécurisé ces informations, un Ticket Granting Ticket (TGT) pour le compte peut être obtenu, permettant à l'attaquant d'accéder aux services ou aux machines auxquels l'utilisateur a des autorisations.
Le processus peut être initié avec les commandes suivantes:
Pour les scénarios nécessitant AES256, l'option -aesKey [clé AES] peut être utilisée. De plus, le ticket acquis peut être utilisé avec divers outils, tels que smbexec.py ou wmiexec.py, élargissant ainsi la portée de l'attaque.
Les problèmes rencontrés tels que PyAsn1Error ou KDC cannot find the name sont généralement résolus en mettant à jour la bibliothèque Impacket ou en utilisant le nom d'hôte à la place de l'adresse IP, assurant ainsi la compatibilité avec le KDC Kerberos.
Une séquence de commandes alternative utilisant Rubeus.exe démontre un autre aspect de cette technique :
Cette méthode reflète l'approche Pass the Key, en mettant l'accent sur la prise de contrôle et l'utilisation du ticket directement à des fins d'authentification. Il est crucial de noter que le lancement d'une demande de TGT déclenche l'événement 4768: Un ticket d'authentification Kerberos (TGT) a été demandé, signifiant une utilisation par défaut de RC4-HMAC, bien que les systèmes Windows modernes préfèrent AES256.
Pour se conformer à la sécurité opérationnelle et utiliser AES256, la commande suivante peut être appliquée:
Références
Dernière mise à jour