Pass-the-Hash Attacks

Todas las versiones de Windows almacenan las contraseñas como hashes en un archivo llamado archivo Administrador de cuentas de seguridad (SAM). El sistema operativo no sabe cuál es la contraseña real porque solo almacena un hash de la contraseña

Microsoft también tiene un conjunto de protocolos de seguridad para la autenticación, llamado New Technology LAN Manager (NTLM). NTLM tenía dos versiones: NTLMv1 y NTLMv2. Desde Windows 2000, Microsoft ha utilizado Kerberos en dominios de Windows. Sin embargo, NTLM aún se puede usar cuando el cliente se autentica en un servidor a través de una dirección IP o si un cliente se autentica en un servidor en un bosque de Active Directory (AD) diferente configurado para la confianza NTLM en lugar de una confianza transitiva entre bosques. Además, NTLM también podría usarse si el cliente se autentica en un servidor que no pertenece a un dominio o si la comunicación Kerberos está bloqueada por un firewall.

Debido a que los hash de contraseña no se pueden revertir, en lugar de intentar descubrir cuál es la contraseña del usuario, un atacante puede simplemente usar un hash de contraseña recopilado de un sistema comprometido y luego usar el mismo hash para iniciar sesión en otro sistema cliente o servidor.

Además, los servidores FTP a menudo permiten la autenticación de usuarios anónimos, que un atacante puede utilizar para almacenar archivos no deseados en su servidor, potencialmente para su filtración.

El sistema operativo Windows y las aplicaciones de Windows solicitan a los usuarios que ingresen sus contraseñas cuando inician sesión. Luego, el sistema convierte las contraseñas en hashes (en la mayoría de los casos, utilizando una API llamada LsaLogonUser). Un ataque pass-the-hash evita este proceso y simplemente envía el hash al sistema para autenticarse.

Mimikatz es una herramienta utilizada por muchos evaluadores de penetración, atacantes e incluso malware que puede resultar útil para recuperar hashes de contraseñas de la memoria