Bei Pass-the-Ticket (PtT) Angriffen werden Kerberos Tickets angemeldeter Benutzer extrahiert...
Pass-the-Ticket-Angriffe zielen auf Kerberos in ähnlicher Weise ab wie Golden-Ticket- und Silver-Ticket-Angriffe, die beide nicht behebbare Schwachstellen im Authentifizierungsprotokoll ausnutzen.
Welche Tools können zum Einsatz kommen?
- ..\Rubeus.exe asktgt /user: <USER>$ /rc4: <NTLM HASH> /ptt
- klist
Lösung (Mitigation)
Wenn es sich bei dem kompromittierten Konto, von dem das TGT-Ticket gestohlen wurde, um ein Konto mit geringen Rechten handelt, das außerhalb des kompromittierten Systems nur begrenzte oder gar keine Berechtigungen hat, kann die Schadensbegrenzung so einfach sein wie das Zurücksetzen des Active Directory-Passworts des Benutzers. Dies würde die gestohlenen TGT oder Diensttickets ungültig machen und den Angreifer daran hindern, neue Tickets mit dem gestohlenen Passwort-Hash zu erstellen.
Wenn der Pass-the-Ticket-Angriff jedoch mit einem privilegierten Konto durchgeführt wurde, ist es wesentlich schwieriger, den Schaden einzudämmen. In diesen Szenarien sollten Unternehmen so reagieren, wie sie es bei einem Golden-Ticket- oder Silver-Ticket-Kerberos-Fälschungsangriff tun würden: den KRBTGT-Dienst ZWEIMAL zurücksetzen, um einen neuen Signierschlüssel zu generieren und sicherzustellen, dass der kompromittierte Schlüssel gelöscht wurde.
Microsoft Artikel für das Zürcksetzen des KRBTGT: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-resetting-the-krbtgt-password
Unternehmen sollten Kerberos-Protokolle und Active Directory-Informationen weiter analysieren, um zu verstehen, auf welche Netzwerkressourcen über die Pass-the-Ticket-Kompromittierung zugegriffen wurde und welche Daten möglicherweise entwendet wurden.