Overpass-the-Hash (Pass-the-Key)

Overpass-the-Hash (Overpass-the-Hash, aussi appelé Pass-the-Key) est une attaque hybride entre Pass-the-Hash et Pass-the-Ticket : au lieu d'utiliser un hash NTLM pour s'authentifier directement via NTLM (vulnérable à la détection NTLM auditing), l'attaquant utilise le hash (NTLM ou clé AES Kerberos) pour demander un TGT Kerberos légitime au KDC. Le résultat est une authentification Kerberos parfaitement valide aux yeux des contrôles, beaucoup plus discrète que du NTLM ou qu'un Golden Ticket forgé.

Workflow : (1) extraire le hash NTLM ou la clé AES256 d'un utilisateur (sekurlsa::ekeys de mimikatz pour les clés Kerberos) ; (2) avec mimikatz `sekurlsa::pth /user:X /domain:Y /aes256:KEY /run:cmd.exe` ou Rubeus `asktgt /user:X /aes256:KEY` ; (3) le KDC répond avec un TGT légitime ; (4) ce TGT est utilisé pour demander des TGS et accéder aux ressources comme un utilisateur normal.

Avantages pour l'attaquant : (1) pas de hash NTLM observable dans les logs ; (2) Event 4768 (TGT request) avec un encryption type AES paraît légitime ; (3) bypass des contrôles "NTLM disabled" ; (4) pas de signature détectable comme un ticket forgé (Golden Ticket). C'est devenu la technique préférée des opérateurs avancés et des ransomware groups.

Détection : (1) authentification Kerberos depuis une station n'ayant jamais été utilisée par l'utilisateur ; (2) corrélation logon time vs TGT request time ; (3) UEBA (User Entity Behavior Analytics) avec Defender for Identity, Splunk UBA, ExtraHop ; (4) anomalies de SPN demandés. Mitigations : (1) Credential Guard ; (2) Protected Users (force AES, lifetime court, no delegation) ; (3) rotation rapide des clés Kerberos après tout incident ; (4) PAW pour les comptes privilégiés ; (5) limiter la durée de vie des sessions admin.