Pass-the-Hash et mouvement latéral
Pass-the-Hash : concept et contrôle
Concepts NTLM/Kerberos, validation en lab, préconditions, détection et réduction des chemins latéraux.
Concept
Pass-the-Hash réutilise un secret NTLM sans connaître le mot de passe en clair. Le risque apparaît lorsqu’un hash est accessible, que NTLM est accepté et que le compte possède des droits sur une autre machine.
Préconditions
- secret obtenu dans le cadre du lab ;
- service acceptant NTLM ;
- connectivité ;
- droits distants ;
- absence de contrôle bloquant ;
- cible explicitement autorisée.
Validation sûre
Utilise deux VMs et un compte de domaine synthétique. Le test doit prouver l’authentification vers une ressource canari, puis déclencher la rotation du compte de lab.
Le portail ne fournit pas de commandes Impacket/Mimikatz de réutilisation de hash.
Détection
Corrèle les connexions réseau, Event IDs 4624/4648, NTLM Operational, création de services, WMI/WinRM et télémétrie EDR. Analyse le type de logon, le compte, la source et la cible.
Réduction
- Windows LAPS ;
- comptes admin uniques ;
- segmentation ;
- réduction NTLM ;
- Credential Guard ;
- firewall hôte ;
- administration par tier ;
- restriction des droits distants.