Picus Security explique l'attaque informatique Pass-the-Ticket

La société de cybersécurité Picus Security a fourni une explication détaillée de la technique d'attaque "Pass-the-Ticket" (T1550.003). Cette méthode est une sous-technique de la catégorie plus large "Use Alternate Authentication Material" (T1550) du framework MITRE ATT&CK, permettant aux attaquants d'exploiter des actifs d'authentification volés pour obtenir un accès non autorisé aux systèmes du réseau.

L'attaque "Pass-the-Ticket" cible spécifiquement le protocole d'authentification Kerberos, couramment utilisé dans des environnements tels qu'Active Directory. Les attaquants peuvent utiliser des outils, comme Mimikatz, pour extraire le Kerberos Ticket Granting Ticket (TGT) d'un utilisateur de la mémoire du système. Une fois obtenu, ce TGT peut être utilisé pour demander des tickets de service, permettant à l'attaquant d'accéder à divers systèmes et ressources sans avoir besoin de connaître ou de retaper les mots de passe des utilisateurs. Cela facilite le déplacement latéral au sein d'un réseau et le potentiel d'exfiltration de données.

L'analyse de Picus Security décrit les étapes de l'exécution d'une attaque "Pass-the-Ticket", y compris la manière dont des outils tels que Mimikatz peuvent être utilisés pour capturer et exporter des tickets Kerberos. L'entreprise note que plusieurs outils disponibles publiquement prennent en charge l'exécution de ces types d'attaques, soulignant un vecteur de menace courant pour les organisations.

Ce type d'attaque contourne de nombreux mécanismes de contrôle d'accès traditionnels en se faisant passer pour des utilisateurs authentifiés légitimes. Les experts en cybersécurité conseillent aux organisations d'améliorer la sécurité et la surveillance de leur authentification Kerberos afin de détecter et de prévenir efficacement de telles intrusions.