Pass-the-Hash (PtH)

Pass-the-Hash (PtH) est une technique d'attaque qui exploite la nature du protocole NTLM : l'authentification ne requiert pas le mot de passe en clair, seulement son hash NTLM. Un attaquant ayant extrait le hash NTLM d'un utilisateur (via dump LSASS, SAM, NTDS.dit, Responder) peut directement s'authentifier auprès des services Windows acceptant NTLM (SMB, HTTP NTLM, RPC, WMI, WinRM) en tant que cet utilisateur, sans jamais cracker le hash.

Outils : (1) Mimikatz `sekurlsa::pth /user:Administrator /domain:corp /ntlm:hash` lance un cmd.exe avec les credentials injectés ; (2) Impacket — psexec.py, wmiexec.py, smbexec.py, atexec.py — accepte -hashes LM:NTLM pour exécution distante ; (3) CrackMapExec / NetExec pour exécution massive sur multiples cibles ; (4) Evil-WinRM. Le PtH permet le lateral movement classique : compromettre une station, dump LSASS, identifier le hash d'un admin local utilisé sur d'autres machines (réutilisation de mot de passe), pivot.

La raison de l'efficacité du PtH : pendant des décennies, les admins systèmes utilisaient le même mot de passe d'administrateur local sur des centaines de machines (image dorée), créant une chaîne de domino. Une seule station compromise = tout le parc tombe.

Mitigations : (1) LAPS (Local Administrator Password Solution) : mots de passe admin locaux uniques par machine, gérés par AD ; (2) Credential Guard (isole les secrets) ; (3) Restricted Admin mode pour RDP (mstsc /restrictedadmin) ; (4) Protected Users group (les membres ne peuvent pas utiliser NTLM, ni cache offline, ni délégation) ; (5) désactiver NTLM, privilégier Kerberos ; (6) tiering AD (T0/T1/T2 isolation) ; (7) EDR détectant les patterns de PtH (Defender ATP, CrowdStrike).