Pass-the-Hash ve Pass-the-Ticket Saldırıları: Kimlik Doğrulama Mekanizmalarına Yönelik Tehditler
Kurumsal ağ güvenliğinde en büyük risklerden biri, saldırganın kullanıcı parolasını hiç bilmeden, sistemde geçerli bir kimlik doğrulaması yapabilmesidir. Pass-the-Hash (PtH) ve Pass-the-Ticket (PtT), Windows kimlik doğrulama mekanizmalarının çalışma prensiplerini istismar ederek yetkisiz erişim elde etmeyi sağlayan sinsi saldırı vektörleridir.
Pass-the-Hash, Windows’un NTLM protokolünü hedef alır. Saldırgan, bir sistemin belleğinden (LSASS süreci gibi) elde ettiği parola hash değerini, parolanın kendisiymiş gibi kullanarak ağdaki diğer makinelere giriş yapabilir.
Pass-the-Ticket ise Kerberos protokolüne odaklanır. Burada saldırgan, parolanın hash değerini değil, kullanıcının o anki oturumu için oluşturulmuş olan ve bellekte saklanan Kerberos biletlerini (TGT/TGS) çalar. Bu biletleri kendi oturumuna “enjekte ederek”, Active Directory ortamında yasal bir kullanıcı gibi dolaşabilir.
Bu saldırılara karşı en etkili savunma; Windows Credential Guard kullanarak kimlik bilgilerini izole etmek, yerel yönetici parolalarını LAPS ile benzersiz kılmak ve ağ içerisinde ayrıcalıklı hesapların (Domain Admin gibi) düşük güvenlikli makinelerde oturum açmasını engelleyen “Tiered Administration” (Kademeli Yönetim) modelini benimsemektir. Kimlik hırsızlığı, sadece parolanın çalınması değil, o parolayı temsil eden her türlü dijital izin belgesinin (token/hash/ticket) ele geçirilmesidir.