EtcSecBeta
🏢Active DirectoryAttack PathsPasswordMonitoring

Pass-the-Hash: cómo hashes NTLM robados siguen permitiendo movimiento lateral

Pass-the-Hash permite a un atacante autenticarse con material NTLM robado sin conocer la contraseña en texto claro. Así funciona la técnica, así se detecta y así se reduce la exposición en AD.

ES
EtcSec Security Team
14 min read
Pass-the-Hash: cómo hashes NTLM robados siguen permitiendo movimiento lateral

¿Qué es Pass-the-Hash?

Pass-the-Hash es una técnica de autenticación que reutiliza material de autenticación derivado de NTLM robado en lugar de la contraseña en texto claro del usuario. En la práctica, el atacante roba material reutilizable de un sistema Windows comprometido y luego lo usa para acceder a otro host o servicio como ese usuario.

En este artículo, el alcance es deliberadamente limitado: Windows, Active Directory, NTLM y movimiento lateral. No es un artículo genérico sobre robo de credenciales. El foco es el modelo operativo específico que hace que Pass-the-Hash siga siendo relevante en entornos AD empresariales: una estación o servidor comprometido, material de autenticación reutilizable presente en ese sistema y un segundo host que todavía acepta autenticación basada en NTLM.

Esta distinción importa porque Pass-the-Hash suele mezclarse con varias técnicas cercanas:

  • Password spraying prueba contraseñas comunes contra muchas cuentas y no requiere hashes robados.
  • Pass-the-Ticket reutiliza tickets Kerberos robados, no material derivado de NTLM.
  • Overpass-the-Hash parte de material derivado de NTLM para obtener material de autenticación Kerberos y luego pivotar a acceso basado en Kerberos.
  • Kerberoasting solicita tickets de servicio y los crackea offline para recuperar contraseñas de cuentas de servicio.

Pass-the-Hash es, por tanto, un problema distinto: el atacante ya dispone de material de autenticación reutilizable y no necesita conocer la contraseña en texto claro para seguir avanzando.

Cómo funciona Pass-the-Hash

MITRE clasifica Pass-the-Hash como T1550.002, una sub-técnica de Use Alternate Authentication Material. La idea central es sencilla: después de un inicio de sesión, Windows y algunos flujos de autenticación conservan material de autenticación, y ese material puede llegar a reutilizarse si un atacante consigue robarlo.

En entornos Windows, NTLM sigue siendo la razón principal por la que Pass-the-Hash continúa siendo operativamente relevante. Si un objetivo remoto acepta NTLM, el atacante puede en algunos casos presentar material derivado de NTLM robado y autenticarse sin conocer nunca la contraseña en texto claro. Por eso reducir el uso de NTLM y limitar los lugares en los que aterrizan credenciales reutilizables son defensas centrales.

En la práctica, el material reutilizable suele proceder de una de estas rutas:

  • Memoria LSASS en un endpoint o servidor comprometido, después de que la víctima haya iniciado sesión
  • Hives SAM / SECURITY para material asociado a cuentas locales de la máquina
  • Cuentas de administrador local compartidas reutilizadas en varios sistemas
  • Credential dumping después de que el atacante ya haya obtenido privilegios de administrador local o ejecución equivalente en un host

La documentación de Microsoft sobre Credential Guard es especialmente útil aquí porque explica con precisión qué protege la función: secretos NTLM, Kerberos y Credential Manager aislados mediante virtualización, en lugar de quedar únicamente expuestos en el espacio normal de LSASS. Eso no elimina todo riesgo de robo de credenciales, pero sí cambia de forma material la superficie de ataque de las cadenas PtH clásicas.

Requisitos previos para que una ataque Pass-the-Hash tenga éxito

Pass-the-Hash suele funcionar solo cuando coinciden varias condiciones.

1. El atacante ya ha comprometido un host Windows

Pass-the-Hash rara vez es el primer movimiento. Normalmente el atacante empieza con phishing, malware, acceso remoto expuesto, mala higiene de privilegios locales u otra vía inicial. PtH se convierte después en una técnica de movimiento lateral.

2. Hay material de autenticación reutilizable en el sistema comprometido

Este es el requisito central. Si cuentas privilegiadas inician sesión en sistemas de menor confianza, si los administradores usan RDP sin protecciones adicionales o si los servidores acumulan secretos de administración reutilizables en LSASS, el atacante tiene algo que robar.

3. El siguiente objetivo sigue aceptando autenticación NTLM

La técnica se vuelve mucho más difícil si el entorno ha reducido su dependencia de NTLM, ha endurecido los flujos de administración remota o ha eliminado rutas críticas que dependen de autenticación NTLM reutilizable.

4. La credencial comprometida mantiene privilegios útiles en otros sistemas

Un hash robado de una cuenta de poco valor sirve de poco. El material realmente peligroso es el de un administrador local reutilizado en muchos equipos, una cuenta de helpdesk con mucho alcance o una cuenta AD privilegiada que inicia sesión en servidores miembro.

5. La higiene administrativa es lo bastante débil como para permitir una cadena de saltos

Por eso Pass-the-Hash está tan ligado al movimiento lateral y no solo al robo de credenciales. Si las contraseñas de administrador local son únicas, si los administradores usan estaciones dedicadas y si las credenciales privilegiadas no aterrizan en sistemas de menor nivel, el atacante pierde la ruta que hace valioso el PtH.

La cadena de ataque

Una secuencia típica de Pass-the-Hash en un entorno AD se parece a esto.

Paso 1 - Obtener ejecución en un primer host

El atacante compromete una estación o un servidor mediante phishing, malware, software vulnerable o una vía de acceso ya existente.

Paso 2 - Extraer material reutilizable

Una vez que dispone de los privilegios necesarios en ese host, el atacante apunta a LSASS o a almacenes locales de credenciales para extraer material reutilizable. MITRE asocia explícitamente herramientas como Mimikatz con el uso de Pass-the-Hash, incluido el módulo SEKURLSA::Pth.

Paso 3 - Identificar la mejor cuenta para reutilizar

El atacante no necesita todas las cuentas. Necesita la cuenta que abra el siguiente salto. En entornos reales esto suele significar:

  • una cuenta de administrador local reutilizada
  • una identidad de helpdesk o de administración de endpoints
  • una cuenta de administración de servidores que ha tocado muchos hosts
  • una cuenta AD privilegiada que nunca debió aterrizar en ese endpoint

Paso 4 - Autenticarse contra otro host usando una ruta que todavía acepta NTLM

A partir de ese punto, el atacante se mueve lateralmente mediante protocolos administrativos, creación remota de servicios, acceso SMB administrativo, WMI, tareas programadas u otras rutas de gestión Windows que todavía aceptan ese material reutilizado.

Paso 5 - Repetir hasta alcanzar un nivel privilegiado superior

El peligro de Pass-the-Hash no es un único salto. El peligro es la cadena. Una estación comprometida lleva a otro contexto de administración, luego a un servidor de gestión, después a un sistema donde existen credenciales de más valor y, en última instancia, al control de dominio o de bosque. Esa es la misma lógica operativa descrita más ampliamente en las rutas de ataque AD: cada frontera débil de credenciales facilita el siguiente salto.

Pass-the-Hash vs Overpass-the-Hash vs Pass-the-Ticket

Estas técnicas están relacionadas, pero no son intercambiables.

Pass-the-Hash sigue centrado en material de autenticación derivado de NTLM y en rutas de acceso que todavía aceptan NTLM.

Overpass-the-Hash empieza con material derivado de NTLM, pero lo usa para obtener material de autenticación Kerberos y pivotar luego a acceso basado en Kerberos.

Pass-the-Ticket no utiliza material derivado de NTLM; reutiliza directamente tickets Kerberos robados.

Esta distinción importa tanto para la detección como para la remediación. Si los defensores colapsan estas técnicas en un único concepto, suelen construir una estrategia de detección débil y aplicar controles equivocados al problema equivocado.

Detección

No existe un único evento de Windows que diga “esto fue Pass-the-Hash”. Una estrategia útil de detección es una estrategia de correlación.

La estrategia de detección de MITRE para T1550.002 es correcta en su dirección: hay que correlacionar actividad anómala de NTLM LogonType 3 con contexto de procesos, sesión y red, en lugar de depender de un solo indicador aislado.

Qué conviene vigilar

Patrones alrededor de 4624

4624 es útil cuando importa dónde aparece la sesión, qué tipo de logon utiliza y qué contexto de cuenta resulta inesperado en ese sistema.

Ejemplos de alto valor:

  • un logon de red que coloca una identidad administrativa en un host que rara vez toca
  • movimiento lateral repetido desde una estación comprometida hacia varios pares o servidores
  • el mismo contexto de administrador local apareciendo en varios endpoints

4672 en el destino

4672 es útil cuando un nuevo inicio de sesión recibe privilegios especiales en el sistema de destino. No es un detector de PtH por sí solo, pero ayuda a identificar qué logons remotos realmente importan.

Contexto NTLM cuando esté disponible

Si tu telemetría captura contexto de autenticación NTLM, ese dato es valioso porque PtH depende de rutas de acceso que todavía aceptan NTLM. El objetivo no es alertar sobre cada evento NTLM. El objetivo es identificar actividad administrativa basada en NTLM que resulte inesperada para las cuentas, los sistemas o los caminos observados.

Movimiento privilegiado inusual entre hosts

Las señales más fuertes suelen venir del comportamiento, no de un único ID de evento:

  • la misma identidad administrativa apareciendo en varios hosts en una ventana corta
  • contexto de administrador local reutilizado en hosts que deberían tener contraseñas locales únicas
  • actividad administrativa iniciada desde una estación de trabajo fuera del flujo normal de administración

Señales EDR de credential dumping y acceso a LSASS

Pass-the-Hash suele depender primero de robo de credenciales. Si el EDR ve acceso sospechoso a LSASS, comportamiento de credential dumping y, a continuación, actividad administrativa remota desde el mismo host, esa correlación suele valer más que una regla basada en un único evento.

Ejemplo de framing de detección

No plantees la detección como “4624 significa Pass-the-Hash”. Un framing mejor es:

  • comportamiento sospechoso de acceso a credenciales en el host A
  • seguido de logon remoto o actividad administrativa basada en NTLM en el host B
  • usando un contexto de cuenta que no encaja con el sistema de origen habitual ni con el flujo normal de administración

Ese es el nivel al que PtH se detecta de verdad en operaciones reales.

Dependencia del monitoreo

Si el monitoreo de AD y Windows es débil, esta técnica será fácil de pasar por alto. Por eso la supervisión de seguridad AD forma parte de la misma familia de controles que la detección de Pass-the-Hash.

Remediation / Remediación

La remediación de Pass-the-Hash no es una sola configuración. Es una estrategia para reducir los lugares donde existen credenciales reutilizables, reducir las rutas que todavía aceptan NTLM y limitar hasta dónde puede viajar un contexto administrativo robado.

1. Habilitar Credential Guard donde esté soportado

Microsoft explica que Credential Guard protege hashes NTLM, TGT de Kerberos y otros secretos aislándolos mediante virtualización. Es uno de los controles más directos contra las cadenas clásicas de robo de credenciales que hacen posible PtH.

Advertencias importantes documentadas por Microsoft:

  • algunas capacidades de autenticación quedan bloqueadas, por lo que conviene probar las aplicaciones antes del despliegue
  • Credential Guard no protege cuentas locales y cuentas Microsoft exactamente del mismo modo que protege secretos derivados del dominio
  • las credenciales suministradas para autenticación NTLM no quedan totalmente protegidas en todos los escenarios
  • Microsoft indica explícitamente que no recomienda habilitar Credential Guard en controladores de dominio

2. Usar Remote Credential Guard o Restricted Admin para flujos RDP

Microsoft documenta dos protecciones distintas para flujos administrativos basados en RDP.

Remote Credential Guard evita que las credenciales se envíen al dispositivo remoto y es la opción preferida cuando el escenario lo soporta.

Restricted Admin también sigue siendo valioso. Microsoft lo recomienda en especial para escenarios de soporte helpdesk porque reduce la exposición de credenciales reutilizables y recursos del usuario frente a un host remoto comprometido.

Matices importantes tomados de la documentación de Microsoft:

  • Remote Credential Guard solo funciona con RDP
  • requiere Kerberos
  • solo se soporta para conexiones directas al host de destino, no a través de RD Gateway o Connection Broker
  • no puede usarse cuando el host remoto está unido solo a Microsoft Entra
  • no cubre todos los escenarios de autenticación, por lo que las pruebas de compatibilidad siguen siendo necesarias

3. Eliminar la reutilización de contraseñas de administrador local con Windows LAPS

Las contraseñas locales compartidas son una de las formas más sencillas de hacer escalable Pass-the-Hash. Microsoft presenta Windows LAPS explícitamente como protección frente a ataques que explotan cuentas locales para movimiento lateral, incluida progresión tipo PtH.

Si la misma contraseña de administrador local existe en decenas o cientos de endpoints, la compromisión de un solo sistema puede convertirse en una campaña de movimiento lateral. Windows LAPS no implementado debe tratarse por tanto como una exposición directa relacionada con PtH, no como un simple tema de higiene secundaria.

4. Evitar que credenciales privilegiadas aterricen en hosts de menor confianza

La propia guía de Microsoft sobre Credential Guard es clara en este punto: las cuentas de alto valor deben usar equipos dedicados. Es uno de los controles anti-PtH más prácticos porque reduce la probabilidad de que material de autenticación privilegiado termine en estaciones de trabajo de propósito general.

Eso puede adoptar varias formas:

  • estaciones administrativas dedicadas
  • jump hosts de administración con alcance de rol estricto
  • administración por tiers que impide que sistemas de nivel inferior recojan credenciales de niveles superiores
  • identidades administrativas separadas en lugar de uso diario con privilegios

5. Reducir el uso de NTLM siempre que sea posible

Pass-the-Hash sigue siendo operativamente útil porque NTLM sigue siendo operativamente útil. Si rutas críticas de administración continúan dependiendo de NTLM, el atacante conserva más margen de movimiento. Reducir NTLM, eliminar dependencias innecesarias y evitar fallbacks silenciosos reduce de forma directa la exposición a PtH.

Por la misma razón, PtH y los ataques NTLM Relay deben revisarse juntos. Son técnicas distintas, pero ambas sobreviven gracias a la misma deuda de protocolo.

6. Proteger las cuentas que más merece la pena robar

Para identidades altamente privilegiadas conviene considerar controles que hagan menos aceptable, desde el punto de vista operativo, el uso de NTLM y el almacenamiento de secretos reutilizables:

  • evitar iniciar sesión con cuentas privilegiadas en sistemas de propósito general
  • usar el grupo Protected Users cuando el entorno pueda asumir sus restricciones
  • revisar las cuentas obsoletas y sobreprivilegiadas y eliminar identidades antiguas que mantengan un alcance excesivo
  • endurecer la seguridad de contraseñas en AD para que malas prácticas de contraseñas no amplifiquen el impacto de un solo contexto administrativo robado

Protected Users es potente, pero no sale gratis. Microsoft documenta que sus miembros no pueden autenticarse usando NTLM, Digest ni la delegación predeterminada de CredSSP, y que algunos flujos legacy pueden fallar. Eso lo convierte en un control fuerte para cuentas de alto valor, pero no en un cambio para desplegar a ciegas.

Validación tras el endurecimiento

No cierres la remediación de Pass-the-Hash solo porque se haya habilitado un control. Hay que validar la ruta de extremo a extremo.

  • confirmar que las cuentas privilegiadas ya no inician sesión en sistemas de menor tier que expongan su material de autenticación
  • verificar que Windows LAPS rota realmente contraseñas únicas de administrador local en el alcance previsto
  • probar la compatibilidad de Credential Guard en sistemas representativos antes del despliegue amplio y confirmar después que sigue habilitado
  • validar que los flujos administrativos por RDP usan Remote Credential Guard o Restricted Admin donde corresponde
  • revisar si las rutas administrativas que permanecen siguen dependiendo de NTLM o de fallbacks silenciosos
  • probar si un endpoint comprometido todavía puede alcanzar otros sistemas usando un contexto de administrador local reutilizado

El criterio correcto de éxito no es “hemos habilitado un control”. El criterio correcto es: “un único contexto administrativo robado ya no permite al atacante recorrer la misma cadena”.

Cómo EtcSec detecta exposición relacionada

EtcSec no necesita una taxonomía artificial de Pass-the-Hash para aportar valor aquí. El valor está en las exposiciones relacionadas que hacen viable PtH.

Las familias de controles más relevantes alrededor de PtH son:

En conjunto, estos controles indican si el entorno todavía conserva los ingredientes que permiten que una credencial Windows robada se convierta en una cadena de movimiento lateral.

Controles relacionados

Pass-the-Hash rara vez es el único problema de identidad del entorno. Si lo que quieres es reducir movimiento real de atacante y no simplemente mejorar un punto de una checklist, conviene revisar PtH junto con Windows LAPS no implementado, WDigest habilitado, los ataques NTLM Relay, las cuentas obsoletas y sobreprivilegiadas, la supervisión de seguridad AD y el Kerberoasting. Esos controles vecinos son los que determinan si Pass-the-Hash sigue siendo una técnica practicable dentro de tu entorno AD.

Fuentes primarias

🏢 Active DirectoryAttack PathsPasswordMonitoring
Pass-the-Hash en Active Directory: detección y mitigación | EtcSec