Co to jest Pass-the-Hash?

Pass-the-Hash to technika ataku, w której atakujący wykrada hasz hasła użytkownika z pamięci systemu i używa go bezposrednio do uwierzytelnienia w innych systemach - bez koniecznosci znania oryginalnego hasła w postaci jawnej.

Technika ta jest szczególnie skuteczna w sieciach Windows korzystajacych z NTLM authentication. Atakujący z dostepem do jednego komputera może wyodrebnic hasze z pamięci i uzyc ich do logowania na serwerach, udzialach sieciowych i innych zasobach w domenie.

Jak się chronić? Ogranicz użycie kont administracyjnych, wdroż Credential Guard w Windows i monitoruj anomalie uwierzytelniania. Rozwiazania EDR wykrywaja próby ekstrakcji haszy z pamięci systemu.