Picus Security erklärt den Pass-the-Ticket-Cyberangriff

Das Cybersicherheitsunternehmen Picus Security hat die Angriffstechnik "Pass-the-Ticket" (T1550.003) detailliert erläutert. Diese Methode ist eine Untertechnik im breiteren MITRE ATT&CK-Framework unter der Kategorie "Use Alternate Authentication Material" (T1550). Sie ermöglicht Angreifern, gestohlene Authentifizierungsdaten zu nutzen, um unbefugten Zugriff auf Netzwerkressourcen zu erlangen.

Der "Pass-the-Ticket"-Angriff zielt speziell auf das Kerberos-Authentifizierungsprotokoll ab, das häufig in Umgebungen wie Active Directory eingesetzt wird. Angreifer können Tools wie Mimikatz verwenden, um das Kerberos Ticket Granting Ticket (TGT) eines Benutzers aus dem Systemspeicher zu extrahieren. Mit diesem gestohlenen TGT können sie dann Diensttickets anfordern und so auf verschiedene Systeme und Ressourcen zugreifen, ohne die Passwörter kennen oder erneut eingeben zu müssen. Dies erleichtert die laterale Bewegung innerhalb eines Netzwerks und die potenzielle Exfiltration von Daten.

Picus Securitys Analyse beschreibt die Schritte zur Ausführung eines "Pass-the-Ticket"-Angriffs, einschließlich der Verwendung von Werkzeugen wie Mimikatz zur Erfassung und zum Export von Kerberos-Tickets. Das Unternehmen weist darauf hin, dass mehrere öffentlich verfügbare Werkzeuge die Ausführung dieser Angriffstypen unterstützen, was einen verbreiteten Bedrohungsvektor für Organisationen darstellt.

Diese Art von Angriff umgeht viele traditionelle Zugriffskontrollmechanismen, indem sie sich als legitime authentifizierte Benutzer ausgibt. Cybersicherheitsexperten raten Organisationen, die Sicherheit und Überwachung ihrer Kerberos-Authentifizierung zu verbessern, um solche Eindringversuche effektiv zu erkennen und zu verhindern.