Co to jest Pass-the-Hash?
Pass-the-Hash to technika ataku, w której atakujący wykrada hasz hasła użytkownika z pamięci systemu i używa go bezpośrednio do uwierzytelnienia w innych systemach - bez konieczności znania oryginalnego hasła w postaci jawnej.
Technika ta jest szczególnie skuteczna w sieciach Windows korzystających z NTLM authentication. Atakujący z dostępem do jednego komputera może wyodrębnić hasze z pamięci i użyć ich do logowania na serwerach, udziałach sieciowych i innych zasobach w domenie.
Jak się chronić? Ogranicz użycie kont administracyjnych, wdróż Credential Guard w Windows i monitoruj anomalie uwierzytelniania. Rozwiązania EDR wykrywają próby ekstrakcji haszy z pamięci systemu.