Attacco Pass-the-hash spiegato: Come gli aggressori bypassano i login

Glossario di cybersecurity Catalogo degli attacchi

Comprendere gli attacchi pass-the-hash (PtH)

Pass-the-hash (PtH) è una tecnica di furto delle credenziali in cui un attaccante cattura gli hash delle password NTLM dalla memoria o dal disco e li riutilizza per autenticarsi ai servizi di rete senza conoscere la password in chiaro. L’attacco sfrutta il modello di autenticazione basato su hash di NTLM, consentendo movimenti laterali, escalation di privilegi e compromissione del dominio. Strumenti come Mimikatz automatizzano l’estrazione e il riutilizzo degli hash. Una difesa efficace combina la disabilitazione di NTLM, l’isolamento degli archivi delle credenziali, il deployment di Privileged Access Management e il monitoraggio di modelli di autenticazione anomali.

Pass-the-hash è un attacco in cui un avversario ruba la password hash di un utente (hash NTLM/LM) da una macchina e la usa per autenticarsi su altri sistemi.

Attribute	Details
Attack type	Credential theft and lateral movement
Impact level	High / Critical
Target	Windows/NTLM environments, domain controllers, privileged accounts
Primary attack vector	Credential dumping (LSASS, SAM, NTDS.dit, challenge–response sniffing)
Motivation	Financial gain, espionage, persistence
Common prevention methods	MFA, PAM, Credential Guard, disable NTLM, LSASS protection, EDR/XDR

Risk factor	Level
Potential damage	Critical
Ease of execution	Moderate
Likelihood	High

Risk factor

Level

Potential damage

Critical

Ease of execution

Moderate

Likelihood

High

Preoccupato per gli attacchi pass-the-hash nel tuo ambiente?

Parla con i nostri esperti per scoprire come rilevare il furto di credenziali, fermare i movimenti laterali e proteggere gli account privilegiati.

Cos'è un attacco pass-the-hash?

Un attacco pass-the-hash avviene quando un aggressore ruba la password hashata di un utente (ad esempio, un hash NTLM) da una macchina compromessa e riutilizza quell’hash per autenticarsi su altri sistemi, senza mai aver bisogno della password in chiaro. Molti processi di autenticazione di Windows accettano un hash al posto della password, quindi l’aggressore può impersonare l’utente finché le credenziali dell’account non vengono cambiate o l’hash non viene invalidato.

Questo attacco sfrutta le debolezze nei protocolli di autenticazione di Windows, in particolare NTLM. NTLM e il vecchio protocollo LM utilizzano metodi di autenticazione basati su hash che accettano un hash valido al posto di una password in chiaro. LM è criptograficamente debole (facile da violare) e NTLM consente di riutilizzare lo stesso hash su più servizi di rete.

Il pass-the-hash è comune negli ambienti Windows. Tuttavia, le macchine Linux collegate ad Active Directory, i server di file Samba o i servizi che supportano NTLM/Kerberos possono accettare hash rubati e credenziali riprodotte. Le configurazioni di cloud ibrido e sincronizzazione AD-Entra ID sono anch’esse vulnerabili, specialmente dove l’autenticazione NTLM o la compatibilità legacy sono abilitate. Una volta che un attaccante ottiene accesso a un sistema ed estrae materiale di credenziali dalla memoria o dal disco, può “passare” l’hash per muoversi lateralmente, elevare i privilegi e persino compromettere i controller di dominio.

Come funziona un attacco pass-the-hash?

Un attacco pass-the-hash segue una catena semplice, da quando un attaccante ottiene un punto d'appoggio fino a raggiungere infine obiettivi di alto valore. Ecco le fasi comuni e cosa succede in ciascuna.

Accesso iniziale

L'attaccante ottiene un punto di accesso alla rete tramite phishing, rilascio di malware, sfruttamento di un servizio vulnerabile o uso di credenziali rubate. Questa base su una macchina utente o server gli consente di eseguire codice o leggere la memoria su un host target.

Raccolta di hash

Una volta su un host, l’attaccante estrae materiale di credenziali (hash o altri artefatti di autenticazione) dall’host compromesso o dal dominio. Mirano ai sistemi di archiviazione (il database SAM locale o un NTDS.dit esportato), ai processi residenti in memoria che memorizzano le credenziali nella cache (dump di memoria LSASS attivi), o utilizzano la replica/abuso di AD (come DCSync) per estrarre i dati degli account. Possono anche intercettare il traffico di rete dove vengono utilizzati protocolli legacy di challenge–response.

Autenticazione con l'hash rubato

L'attaccante riutilizza l'hash catturato per autenticarsi a SMB, RPC o altri servizi che accettano l'autenticazione NTLM (o simile), impersonando efficacemente l'account senza decifrare l'hash. Gli strumenti comuni usati per eseguire questa ripetizione includono Mimikatz, Invoke-TheHash, Sharp-SMBExec e framework offensivi come Cobalt Strike.

Movimento laterale

Utilizzando l'hash rubato, l'attaccante si sposta dall'host iniziale ad altre macchine. Usano meccanismi di gestione remota (condivisioni SMB, esecuzione remota tipo PsExec, WMIC, attività pianificate o strumenti amministrativi integrati) per raggiungere ulteriori macchine e raccogliere altre credenziali. Usano anche il furto di token e l'usurpazione per agire come altri utenti. In questo modo, espandono il loro controllo sulla rete mentre si mimetizzano con l'attività amministrativa legittima.

Escalatione dei privilegi

Con l'accesso laterale, gli aggressori prendono di mira account con privilegi più elevati (service accounts, domain admins e SIDs integrati ad alto privilegio come RID-500), abusano di configurazioni errate (service accounts con privilegi eccessivi, archivi di credenziali esposti) e sfruttano servizi vulnerabili per ottenere hash a livello amministrativo. Questo concede loro un controllo più ampio e riduce la necessità di rubare ripetutamente le credenziali.

Persistenza e obiettivi

Dopo aver ottenuto posizioni privilegiate, gli aggressori stabiliscono una persistenza (backdoor, attività pianificate, account di servizio modificati) per rimanere all’interno, anche dopo riavvii e cambi di password. Ora sono posizionati per perseguire obiettivi come il furto di dati, il rilascio di ransomware e lo spionaggio a lungo termine.

Supporto Netwrix

Strumenti come Netwrix Auditor e Netwrix Threat Manager possono aiutare a rilevare l'attività pass-the-hash monitorando continuamente i modelli di autenticazione e accesso. Identificano anomalie come accessi NTLM imprevisti, escalation di privilegi e accessi insoliti a processi sensibili come LSASS. Correlando questi eventi e fornendo avvisi in tempo reale, le organizzazioni possono indagare rapidamente e contenere potenziali movimenti laterali.

Diagramma del flusso di attacco

Diamo un’occhiata a un semplice flusso visivo dell’attacco pass-the-hash e a un esempio di storia dal punto di vista di un’organizzazione che mostra come l’attacco inizi con una violazione della rete che porta all’escalation dei privilegi e alla persistenza.

Presso Archie Corp, un dipendente apre un allegato di fattura dannoso, dando all'attaccante un punto d'appoggio iniziale nella rete. L'attaccante esegue un loader e scarica la memoria LSASS per catturare gli hash NTLM. Usando quegli hash, si autenticano a un file server interno tramite SMB ed eseguono PsExec per raggiungere altri host. Da un jump host, trovano un account di servizio con privilegi elevati e riutilizzano il suo hash per accedere a un controller di dominio. L'attaccante crea un'attività pianificata per la persistenza ed esfiltra file sensibili, quindi distribuisce ransomware.

Esempi di attacchi pass-the-hash

Gli attacchi pass-the-hash si presentano ripetutamente nelle intrusioni reali. Ecco alcuni esempi concreti che illustrano come questa tecnica appare in campagne ransomware e mirate.

Case	Impact
Hive ransomware (2022)	In 2022, Hive ransomware operators carried out a wave of attacks that exploited the ProxyShell vulnerabilities in Microsoft Exchange servers (CVE-2021-34473, CVE-2021-34523, and CVE-2021-31207). These flaws allowed remote code execution, giving attackers an initial foothold inside corporate networks. Once inside, the attackers deployed web shells and Cobalt Strike beacons for persistence and control. They then ran Mimikatz to dump credentials from LSASS memory and extract NTLM hashes, which were reused in a pass-the-hash technique to authenticate laterally across systems, including domain controllers. With elevated privileges, Hive actors spread through the environment, disabled defenses, exfiltrated sensitive data, and finally deployed their ransomware payload. A joint advisory by CISA, FBI, and HHS stated that as of November 2022, Hive had victimized over 1,300 companies worldwide and extracted some $100 million in ransom payments. It also listed the sectors targeted by Hive: “Government Facilities, Communications, Critical Manufacturing, Information Technology, and especially Healthcare and Public Health (HPH).”
HSE Conti ransomware attack (2021)	On 14 May 2021, Ireland’s Health Service Executive (HSE) was hit by a major ransomware attack by the Conti gang, forcing the shutdown of all its IT systems nationwide. After gaining unauthorized access to HSE's IT environment on March 18, the attacker operated undetected for some eight weeks before deploying the Conti ransomware on May 14. During that time, they moved laterally through the network, compromised high-privilege accounts, and exfiltrated data from multiple sites. Conti operators used Mimikatz and Cobalt Strike to steal credentials and perform PtH attacks. They used dumped NTLM hashes to authenticate and move laterally via SMB, PsExec, and RDP. Although HSE's antivirus detected the malicious tools on March 31, 2021, it was set to monitor-only mode and failed to block the attack.
NotPetya (June 2017)	On 27 June 2017, the NotPetya wave began in Ukraine (80% of infections) and rapidly spread worldwide. It affected organizations in France, Germany, Italy, Poland, Russia, UK, US, and Australia. After initial execution, the attackers used credential-theft techniques and then leveraged remote-execution channels such as PsExec, WMIC and SMB to move laterally across networks, causing billions of dollars in damages. Vendor analyses and government writeups describe this as a “credential theft + remote exec” propagation model and note Mimikatz-style harvesting behavior, which is similar to pass-the-hash patterns seen in many ransomware campaigns.

Case

Impact

Hive ransomware (2022)

In 2022, Hive ransomware operators carried out a wave of attacks that exploited the ProxyShell vulnerabilities in Microsoft Exchange servers (CVE-2021-34473, CVE-2021-34523, and CVE-2021-31207). These flaws allowed remote code execution, giving attackers an initial foothold inside corporate networks.

Once inside, the attackers deployed web shells and Cobalt Strike beacons for persistence and control. They then ran Mimikatz to dump credentials from LSASS memory and extract NTLM hashes, which were reused in a pass-the-hash technique to authenticate laterally across systems, including domain controllers. With elevated privileges, Hive actors spread through the environment, disabled defenses, exfiltrated sensitive data, and finally deployed their ransomware payload.

A joint advisory by CISA, FBI, and HHS stated that as of November 2022, Hive had victimized over 1,300 companies worldwide and extracted some $100 million in ransom payments. It also listed the sectors targeted by Hive: “Government Facilities, Communications, Critical Manufacturing, Information Technology, and especially Healthcare and Public Health (HPH).”

HSE Conti ransomware attack (2021)

On 14 May 2021, Ireland’s Health Service Executive (HSE) was hit by a major ransomware attack by the Conti gang, forcing the shutdown of all its IT systems nationwide.

After gaining unauthorized access to HSE's IT environment on March 18, the attacker operated undetected for some eight weeks before deploying the Conti ransomware on May 14. During that time, they moved laterally through the network, compromised high-privilege accounts, and exfiltrated data from multiple sites.

Conti operators used Mimikatz and Cobalt Strike to steal credentials and perform PtH attacks. They used dumped NTLM hashes to authenticate and move laterally via SMB, PsExec, and RDP. Although HSE's antivirus detected the malicious tools on March 31, 2021, it was set to monitor-only mode and failed to block the attack.

NotPetya (June 2017)

On 27 June 2017, the NotPetya wave began in Ukraine (80% of infections) and rapidly spread worldwide. It affected organizations in France, Germany, Italy, Poland, Russia, UK, US, and Australia. After initial execution, the attackers used credential-theft techniques and then leveraged remote-execution channels such as PsExec, WMIC and SMB to move laterally across networks, causing billions of dollars in damages. Vendor analyses and government writeups describe this as a “credential theft + remote exec” propagation model and note Mimikatz-style harvesting behavior, which is similar to pass-the-hash patterns seen in many ransomware campaigns.

Conseguenze degli attacchi pass-the-hash

Gli attacchi pass-the-hash possono avere conseguenze di vasta portata perché concedono agli aggressori l'accesso a livello amministratore. Il danno non si limita all'impatto tecnico. Influisce sulle finanze, sulla continuità aziendale, sulla fiducia dei clienti e persino sulla conformità normativa.

Impact area	Description
Financial	Victims face ransom demands, data-recovery and remediation expenses, and potential financial fraud. The combined cost of downtime, system rebuilds, and lost revenue can reach millions.
Operational	By compromising administrative access to the network, attackers can disable critical systems, deploy ransomware, and halt essential business processes, leading to prolonged outages.
Reputational	Breaches that involve credential abuse lead to loss of customer and partner trust, brand damage, media scrutiny, and potential loss of clients.
Legal/regulatory	Exposure or misuse of sensitive data can trigger GDPR, HIPAA, and SOX violations. Organizations can face lawsuits, regulatory investigations, and huge fines for non-compliance or negligence.

Impact area

Description

Financial

Victims face ransom demands, data-recovery and remediation expenses, and potential financial fraud. The combined cost of downtime, system rebuilds, and lost revenue can reach millions.

Operational

By compromising administrative access to the network, attackers can disable critical systems, deploy ransomware, and halt essential business processes, leading to prolonged outages.

Reputational

Breaches that involve credential abuse lead to loss of customer and partner trust, brand damage, media scrutiny, and potential loss of clients.

Legal/regulatory

Exposure or misuse of sensitive data can trigger GDPR, HIPAA, and SOX violations. Organizations can face lawsuits, regulatory investigations, and huge fines for non-compliance or negligence.

Obiettivi comuni di un attacco pass-the-hash: chi è a rischio?

Gli attacchi pass-the-hash sono più efficaci contro i sistemi che memorizzano, elaborano o accettano hash di autenticazione riutilizzabili. Di seguito vengono discussi alcuni obiettivi comuni.

Ambienti Active Directory

Molti ambienti Active Directory supportano ancora l'autenticazione legacy come NTLM e hanno un gran numero di account e servizi privilegiati. I metodi di autenticazione più vecchi insieme a molte trust interconnesse rendono le foreste AD obiettivi di alto valore, poiché un singolo host compromesso può esporre molti account.

Controller di dominio e server Windows

I controller di dominio e altri server Windows memorizzano e elaborano hash NTLM, credenziali memorizzate nella cache LSASS e altri dati di directory, rendendoli obiettivi principali. Se un attaccante compromette una di queste macchine, può raccogliere questi segreti e scalare rapidamente.

Account privilegiati

Gli amministratori di dominio, gli account di servizio e gli SID integrati ad alto privilegio (ad esempio, RID-500/admin locale) forniscono portata laterale e controllo. Catturando le credenziali di questi account, gli attaccanti possono impersonarli ed eseguire azioni a livello di dominio.

Sistemi mal configurati

I sistemi con password amministrative condivise, scarsa applicazione delle GPO e credenziali memorizzate nella cache o archiviate (inclusi account di servizio incorporati in script e file di configurazione) abbassano drasticamente la barriera per gli attacchi pass-the-hash. Politiche deboli e riutilizzo delle credenziali peggiorano l'impatto di una violazione.

Ambienti ibridi/cloud

In ambienti misti on-premises e cloud, gli attaccanti possono combinare pass-the-hash con pass-the-ticket o Kerberoasting per prendere di mira host Linux uniti ad AD, server Samba e identità sincronizzate con Entra ID. Queste configurazioni ibride ampliano la superficie di attacco e rendono più complessa la protezione dell'identità.

Valutazione del rischio

Pass-the-hash è un attacco ad alto rischio perché consente agli aggressori di impersonare gli utenti e prendere il controllo completo di un dominio Active Directory con credenziali privilegiate.

Risk factor	Level
Potential damage	Critical A single compromised high-privilege account or access to domain controllers can enable full domain compromise, large-scale data exfiltration, ransomware deployment, and long recovery timelines.
Ease of execution	Moderate Pass-the-hash requires an initial foothold and local admin (or SYSTEM) rights to extract hashes. However, tools like Mimikatz and WCE make it easy once an attacker is inside the network.
Likelihood	High Pass-the-hash is a common post-exploitation technique in real-world incidents (ransomware and targeted campaigns), especially in environments with legacy NTLM usage, poor segmentation, and weak credential hygiene.

Risk factor

Level

Potential damage

Critical
A single compromised high-privilege account or access to domain controllers can enable full domain compromise, large-scale data exfiltration, ransomware deployment, and long recovery timelines.

Ease of execution

Moderate
Pass-the-hash requires an initial foothold and local admin (or SYSTEM) rights to extract hashes. However, tools like Mimikatz and WCE make it easy once an attacker is inside the network.

Likelihood

High
Pass-the-hash is a common post-exploitation technique in real-world incidents (ransomware and targeted campaigns), especially in environments with legacy NTLM usage, poor segmentation, and weak credential hygiene.

Come prevenire gli attacchi pass-the-hash

Gli attacchi pass-the-hash sfruttano pratiche di autenticazione deboli e privilegi eccessivi. Per prevenirli, le organizzazioni devono ridurre l'esposizione delle credenziali, bloccare i diritti di amministratore e monitorare attentamente i segnali di uso improprio. Le seguenti migliori pratiche possono aiutare.

Rafforzamento delle credenziali e dell'autenticazione

Disabilita o elimina gradualmente NTLM ovunque possibile e applica l'autenticazione basata su Kerberos. NTLM è obsoleto e molto più soggetto ad abusi.
Se NTLM è ancora necessario, limitare l'uso a NTLMv2 per una protezione crittografica più forte.
Abilita Windows Defender Credential Guard per isolare LSASS e proteggere il materiale delle credenziali dal furto.
Attiva la protezione LSA (RunAsPPL) per impedire ai processi non attendibili di leggere la memoria LSASS.
Disabilita WDigest in modo che le password in testo semplice non vengano memorizzate nella cache della memoria.

Controlli di accesso privilegiato

Applica il principio del minimo privilegio (PoLP). Gli utenti dovrebbero avere solo l'accesso di cui hanno veramente bisogno e nessun diritto amministrativo non necessario.
Usa just-in-time (JIT) e Just Enough Administration (JEA) per concedere diritti amministrativi temporanei per attività specifiche.
Randomizza le password degli amministratori locali con Microsoft LAPS o LAPS2 per prevenire il riutilizzo delle credenziali.
Non riutilizzare mai le password degli amministratori locali su più macchine.
Aggiungi account sensibili e di alto valore al gruppo Protected Users.

Sicurezza dell'identità e degli account

Implementa Privileged Access Management (PAM) o un vault per password per controllare e auditare le credenziali privilegiate.
Sostituire gli account di servizio statici con account di servizio gestiti di gruppo (gMSA).
Applica la rotazione regolare e automatica delle password per tutti gli account di alto valore.
Richiedi l'autenticazione a più fattori (MFA) per l'accesso remoto e privilegiato.
Eseguire audit continui degli account privilegiati per rimuovere quelli inattivi e obsoleti.

Difese di rete e protocollo

Blocca il traffico SMB/RPC da workstation a workstation per prevenire movimenti laterali. Puoi farlo applicando la segmentazione est-ovest, come regole firewall o politiche firewall host che negano SMB/RPC tra endpoint.
Abilita la firma e la crittografia SMB per una maggiore integrità della sessione.
Usa Remote Credential Guard per proteggere le credenziali durante le sessioni RDP.
Segmenta gli account amministrativi per livelli (ad esempio, Livello 0 per controller di dominio, Livello 1 per server) per contenere potenziali violazioni.
Applica restrizioni di accesso in modo che gli account privilegiati possano accedere solo ai sistemi approvati.

Igiene IT e operativa

Applica patch regolarmente, soprattutto per le vulnerabilità relative all'autenticazione e a NTLM.
Eseguire regolarmente test di penetrazione e esercitazioni di red team per convalidare le tue difese.
Forma i dipendenti a riconoscere i tentativi di phishing e i rischi di furto delle credenziali.
Mantieni immagini golden e backup immutabili o offline per un rapido recupero dopo gli incidenti.
Passa a un modello Zero Trust in cui verifichi continuamente ogni utente, dispositivo e richiesta.

Come Netwrix può aiutare

Gli attacchi pass-the-hash sono difficili da fermare solo con le difese tradizionali perché sfruttano credenziali valide. Le soluzioni Netwrix rafforzano la sicurezza dell'identità rilevando comportamenti di autenticazione sospetti, controllando l'accesso privilegiato e fornendo piena visibilità sull'attività degli account.

Netwrix Threat Manager

Netwrix Threat Manager aiuta a rilevare l’attività PtH combinando inganno e analisi comportamentale per individuare il furto di credenziali e i movimenti laterali.

Inganno (honeytokens): Threat Manager consente di distribuire honeytokens come credenziali “esca” nell’ambiente. Se un attaccante tenta di usarle o autenticarsi con esse, è un forte indicatore di raccolta e riutilizzo malevoli delle credenziali. Il sistema genererà un avviso per l’indagine.
Analisi comportamentale e rilevamento delle anomalie: Il prodotto stabilisce una baseline del comportamento normale di utenti e servizi e quindi segnala anomalie che corrispondono a schemi di furto di credenziali o movimento laterale, ad esempio account che si autenticano da host mai utilizzati prima, picchi improvvisi nel numero di host a cui un account accede o uso insolito di strumenti amministrativi. Questi rilevamenti basati sull'identità sono correlati con eventi di AD, Entra ID e del file system per ridurre i falsi positivi e generare avvisi in tempo reale.

Netwrix Privilege Secure

Privilege Secure riduce il rischio di credenziali rubate e riutilizzate proteggendo gli account privilegiati. Rimuove i privilegi permanenti, applica l’accesso just-in-time, fornisce il vault delle credenziali e monitora l’attività privilegiata. Ciò impedisce agli attaccanti di abusare di password e hash memorizzati, rendendo più difficile il successo degli attacchi pass-the-hash.

Privilegi permanenti zero con accesso JIT: Privilege Secure concede privilegi elevati solo quando un’attività è approvata e li revoca automaticamente dopo. Ciò elimina gli account amministratore a lunga durata che gli aggressori potrebbero sfruttare.
Archiviazione delle credenziali: Il prodotto si integra con vaults o può gestire i segreti autonomamente. Centralizza le credenziali privilegiate e riduce le password riutilizzate sugli endpoint. L'archiviazione centrale unita alla rotazione automatica impedisce agli aggressori di trovare credenziali stabili da estrarre e riutilizzare.
Monitoraggio e audit delle sessioni: Privilege Secure registra e monitora le sessioni e le azioni privilegiate (chi ha accesso a cosa, quando e come) per audit e preparazione forense.
Controllo granulare dei privilegi e rimozione dei diritti di amministratore locale: Il prodotto consente di rimuovere i diritti di amministratore locale dagli utenti, concedere solo permessi specifici per attività e gestire centralmente l'accesso elevato.
Scoperta di account privilegiati nascosti: Privilege Secure può eseguire la scansione degli endpoint e identificare account privilegiati nascosti e non gestiti.

Netwrix Auditor

Auditor ti offre una visibilità completa sull’attività degli utenti e sulle modifiche di sistema. Tiene traccia degli accessi, delle modifiche agli account e ai privilegi, e delle modifiche di configurazione nell’intero ambiente. Tutte le azioni sono registrate con dettagli su chi, cosa, quando e dove. Questo facilita i team nell’indagare comportamenti insoliti, rispondere agli incidenti e rispettare le normative.

Rileva accessi sospetti e attività NTLM: Auditor traccia tutti gli accessi riusciti e falliti (inclusa l'autenticazione NTLM). Fornisce dettagliati audit trail che mostrano orari di accesso, host e utilizzo degli account, aiutando i team a identificare accessi insoliti che potrebbero indicare furto d'identità o un account compromesso.
Monitora l'uso degli account privilegiati: Il prodotto registra quando gli account privilegiati (come Domain Admins e account di servizio) vengono utilizzati al di fuori dei sistemi e degli orari previsti, e genera avvisi per avvertire i team.
Verifica le modifiche ad account e gruppi sensibili: Gli aggressori spesso aggiungono account compromessi ai gruppi di amministrazione dopo aver utilizzato PtH. Auditor invia avvisi quando vengono modificati gruppi critici di Active Directory.
Fornisce tracce di audit forensi: Registri dettagliati di chi ha accesso a cosa e quando consentono agli investigatori di tracciare come sono stati utilizzati gli hash rubati.

Rileva e rispondi agli attacchi pass-the-hash con Netwrix Threat Manager. Scarica la prova gratuita.

Strategie di rilevamento, mitigazione e risposta

Gli attacchi pass-the-hash possono svolgersi silenziosamente. Per questo motivo, la rilevazione precoce e una risposta rapida sono fondamentali. Le tue tattiche di difesa dovrebbero combinare visibilità, gestione rigorosa delle credenziali e una risposta disciplinata per ridurre i danni di tali attacchi.

Rilevamento

La rilevazione precoce dipende dall'individuazione di sottili anomalie di autenticazione e modelli di abuso delle credenziali.

Monitorare gli ID eventi di Windows

I team di sicurezza dovrebbero monitorare gli ID evento di Windows 4624, 4625, 4648, 4672 e 4688 per rilevare accessi insoliti, tentativi falliti e uso di privilegi.

4624: Attivato quando un utente o un servizio effettua l'accesso con successo. Utile per individuare accessi insoliti o inattesi (come gli accessi di rete NTLM).
4625: Registrato quando un tentativo di accesso fallisce.
4648: Si verifica quando un utente o processo tenta di accedere utilizzando credenziali esplicite (ad esempio, runas, unità mappate, connessioni remote). Comune nei tentativi di PtH e movimenti laterali.
4672: Indica che una sessione di accesso ha ricevuto privilegi elevati.
4688: Registrato quando un processo inizia. Essenziale per rilevare strumenti o script sospetti (come Mimikatz, PsExec e payload di PowerShell).

Tentativi di accesso insoliti a LSASS.exe

Gli aggressori prendono di mira il processo LSASS per estrarre materiale di credenziali dalla memoria. L'ID evento 10 di Sysmon registra i tentativi di accesso diretto a LSASS, ad esempio, quando strumenti di furto di credenziali come Mimikatz o Cobalt Strike cercano di leggere la memoria del processo. Tale accesso è raro nelle normali operazioni, quindi tentativi ripetuti o insoliti di accesso a LSASS dovrebbero far scattare allarmi.

Picchi nelle autenticazioni NTLM remote

Attenzione a picchi insoliti di autenticazione NTLM. I logon NTLM di Tipo 3 (rete) o Tipo 10 (interattivo remoto) mostrano autenticazioni tramite SMB, RPC e RDP. Un improvviso aumento di questi eventi da un singolo account o host può indicare il riutilizzo di hash per movimenti laterali.

Attività NTLM o autenticazione da endpoint insoliti

Un aumento nelle autenticazioni o accessi NTLM provenienti da macchine mai viste prima potrebbe suggerire che un attaccante stia riproducendo hash tra sistemi.

Attività SMB o RPC da workstation a workstation

I normali flussi di lavoro aziendali raramente prevedono che la postazione di un dipendente avvii sessioni SMB e RPC con un’altra postazione. Per questo motivo, tieni d’occhio il traffico insolito est-ovest (ad esempio, tra due laptop degli utenti) poiché può segnalare un movimento laterale.

Completa il monitoraggio dei log con soluzioni EDR, XDR e Identity Threat Detection & Response

Le soluzioni di Endpoint detection and response (EDR), extended detection and response (XDR) e identity threat detection and response (ITDR) possono identificare minacce basate sull'identità in tempo reale. Questi strumenti analizzano il comportamento del sistema e dell'identità su più host. Definiscono i modelli normali di accesso e segnalano quando un account accede da nuove macchine, utilizza metodi di autenticazione obsoleti come NTLM o mostra movimenti laterali coerenti con tattiche PtH.

Distribuire account e token honeypot

Gli account honeypot (detti anche honeytokens) sono account utente falsi o credenziali posizionati in sistemi o aree di memoria che gli attaccanti solitamente sondano. Se questi account vengono utilizzati o autenticati, i difensori sanno immediatamente che qualcuno sta raccogliendo o riproducendo credenziali.

Mitigazione

La mitigazione del pass-the-hash richiede il rafforzamento delle credenziali, il restringimento dei privilegi e la segmentazione dei confini di fiducia.

Protezione delle credenziali

La protezione forte delle credenziali è al centro della mitigazione degli attacchi PtH. Gli aggressori si basano su dati di autenticazione memorizzati o in cache, quindi isolarli e proteggerli limita il loro successo.

Disabilita NTLM o applica solo NTLMv2: NTLM è un protocollo di autenticazione comunemente abusato. Disabilitarlo completamente costringe i sistemi a utilizzare un'autenticazione Kerberos più forte. Se disabilitarlo non è fattibile a causa di dipendenze legacy, applica NTLMv2 poiché offre una migliore robustezza crittografica e aiuta a ridurre l'esposizione agli attacchi di replay.
Abilita Credential Guard e LSA Protection: Windows Defender Credential Guard utilizza la sicurezza basata sulla virtualizzazione per isolare segreti come gli hash NTLM e i ticket Kerberos dal resto del sistema operativo. Questo aiuta a prevenire il furto tramite dump di memoria. Allo stesso modo, LSA Protection (RunAsPPL) assicura che solo processi affidabili e firmati possano accedere al processo LSASS, bloccando strumenti come Mimikatz dall’estrarre le credenziali.
Disabilita WDigest per interrompere la memorizzazione nella cache delle password in testo semplice: I sistemi Windows più vecchi e alcune configurazioni memorizzano le password in testo semplice nella memoria tramite il pacchetto di autenticazione WDigest. Disabilita WDigest per impedire che queste password in testo semplice vengano memorizzate nella cache. Ciò garantisce che, anche se gli aggressori estraggono la memoria LSASS, ottengano solo credenziali crittografate o con hash.

Controlli di rete e protocollo

Le difese a livello di rete possono impedire agli aggressori di utilizzare hash rubati per spostarsi lateralmente tra i sistemi. Segmentare, crittografare e convalidare il traffico assicura che avvengano solo comunicazioni legittime.

Blocca il traffico SMB/RPC da workstation a workstation: Gli aggressori si diffondono lateralmente riutilizzando gli hash su connessioni SMB o RPC tra workstation degli utenti. Queste connessioni non sono utilizzate per le normali operazioni aziendali. Blocca la comunicazione diretta da workstation a workstation per limitare la capacità di un aggressore di pivotare attraverso la rete dopo una compromissione iniziale.
Richiedi firma/cifratura SMB: La firma SMB verifica l'integrità dei pacchetti SMB e previene manomissioni, mentre la cifratura SMB garantisce che le credenziali e i dati sensibili non vengano esposti durante il transito. Applica queste funzionalità per impedire agli aggressori di intercettare o riprodurre il traffico di autenticazione.
Abilita Remote Credential Guard per RDP: Remote Credential Guard impedisce che le credenziali vengano inviate ai sistemi remoti durante le sessioni RDP. Invece, l'autenticazione viene gestita lato client, riducendo il rischio che hash e ticket Kerberos vengano raccolti dalla macchina remota.

Igiene operativa

Una buona igiene della sicurezza mantiene le credenziali, i sistemi e le configurazioni resilienti contro lo sfruttamento.

Ruotare le password degli account di servizio o sostituirle con gMSA: Le credenziali statiche o condivise degli account di servizio sono un obiettivo comune di attacco. Le Group Managed Service Accounts automatizzano la rotazione delle password e una rotazione frequente rende rapidamente inutilizzabili per gli aggressori gli hash rubati.
Applica regolarmente patch ai sistemi per rimuovere vulnerabilità sfruttabili: Molti attacchi di furto di credenziali, incluso PtH, iniziano con exploit di escalation dei privilegi che concedono accesso SYSTEM o amministratore locale. Mantieni i sistemi patchati in modo che gli aggressori non possano utilizzare vulnerabilità note per raggiungere LSASS o estrarre dati delle credenziali.
Eseguire regolarmente test di penetrazione e red teaming: I test di penetrazione periodici e gli esercizi di red team simulano catene di attacco reali, comprese le tecniche PtH. Queste valutazioni aiutano a identificare configurazioni deboli, punti ciechi nel rilevamento e lacune nelle difese contro i movimenti laterali.
Forma il personale sulla consapevolezza di phishing e furto di credenziali: Molte campagne PtH iniziano con l’ingegneria sociale, dove un allegato o un link malevolo in un’email fornisce il primo accesso. La formazione regolare aiuta i dipendenti a riconoscere i tentativi di phishing, capire perché le credenziali non devono mai essere riutilizzate e segnalare tempestivamente le email sospette.

Risposta

Quando compaiono indicatori di attività PtH, il contenimento rapido e l'indagine forense sono fondamentali per minimizzare l'impatto.

Azioni immediate

Quando viene rilevato un attacco pass-the-hash, contenerlo rapidamente. L'obiettivo è limitare i danni, fermare i movimenti dell'attaccante e preservare le prove per l'indagine.

Reimpostare gli account compromessi per invalidare gli hash rubati: Poiché gli attacchi PtH si basano su hash di password riutilizzati, è necessario reimpostare immediatamente gli account interessati per invalidare tali credenziali.
Metti in quarantena gli endpoint interessati per l'indagine forense: Isola i sistemi compromessi dalla rete per impedire agli aggressori di usarli come punti pivot per movimenti laterali. Analizza i dispositivi in quarantena per determinare come sono state rubate le credenziali e se altri sistemi sono a rischio.
Contieni il movimento laterale segmentando i sistemi infetti: La segmentazione della rete può bloccare la capacità dell’attaccante di muoversi lateralmente nell’ambiente. Colloca i sistemi infetti in zone di rete ristrette, limita le condivisioni amministrative e disabilita i protocolli remoti non necessari (SMB/RDP) per contenere la violazione.

Indagine forense

Dopo il contenimento, l'analisi forense aiuta i team a comprendere l'entità della violazione.

Analizza i dump LSASS, SAM, NTDS.dit per indicatori di compromissione: Esamina i dump di memoria LSASS, il database Security Account Manager (SAM) e il database NTDS.dit di Active Directory per scoprire se sono state estratte credenziali e quali account sono interessati.
Review authentication logs to map attacker movement: Event logs provide a timeline of logons and privilege escalations. By correlating these events, analysts can reconstruct how the attacker authenticated across systems, identify lateral movement paths, and locate the initial access point.
Identificare i meccanismi di persistenza (nuovi utenti, attività pianificate, modifiche GPO): Gli aggressori creano backdoor per riconquistare l'accesso dopo il reset delle password o la ricostruzione del sistema. Cercare account utente non autorizzati, attività pianificate dannose, elementi di avvio e Oggetti Criteri di Gruppo modificati per garantire che i metodi di persistenza vengano rimossi prima del recupero.

Recupero e indurimento

Once the investigation concludes, focus shifts to restoring operations and strengthening defenses to prevent recurrence.

Ricostruisci gli host compromessi con immagini golden: I sistemi coinvolti nell’attacco devono essere cancellati e ricostruiti utilizzando immagini golden affidabili. Questo rimuove completamente malware nascosti, rootkit e modifiche del registro lasciate dagli aggressori.
Ripristina da backup offline/immutabili: I backup disconnessi dalla rete o archiviati in storage immutabile sono fondamentali per un recupero pulito. Ripristina da backup verificati e non manomessi per riportare rapidamente i sistemi online senza reintrodurre dati o configurazioni compromessi.
Ruota le credenziali di alto valore (Domain Admin, account di servizio, KRBTGT): Le credenziali con privilegi elevati sono un obiettivo principale nelle campagne PtH. Ruota queste password, in particolare l'account KRBTGT che emette i ticket Kerberos, per invalidare password e token rubati.
Implementa difese di identità più forti (Privileged Access Management, MFA, EDR/Identity Threat Detection & Response): Introduci Privileged Access Management per sessioni amministrative controllate, MFA per prevenire l'uso improprio a singolo fattore e soluzioni EDR/Identity Threat Detection & Response per rilevare comportamenti di autenticazione anomali e tentativi di uso improprio delle credenziali.

Impatto specifico del settore

Gli attacchi pass-the-hash interessano quasi tutti i settori, ma le loro conseguenze variano a seconda del tipo di dati, sistemi e normative coinvolti. Ecco come vengono colpiti i diversi settori.

Industry	Impact
Healthcare	PtH attacks in healthcare can lead to patient record theft, exposing sensitive medical and personal data that is protected under HIPAA. Compromised systems can also serve as entry points for ransomware attacks, which can further disrupt hospital operations, delay care, and even endanger patients. The resulting regulatory penalties and loss of public trust can have long-term effects on both finances and reputation.
Finance	In the financial sector, attackers using stolen hashes can impersonate employees and privileged users to access internal systems and initiate fraudulent transactions. The ability to move laterally within banking systems compounds the risk of large-scale breaches and insider-style fraud. This results in financial loss and exposes institutions to compliance violations under regulations like SOX or PCI DSS.
Government	When PtH techniques are used against government networks, the impact extends beyond data loss. Attackers can perform cyber-espionage, steal classified information, and disrupt critical public services. Such incidents can compromise national security and damage public confidence in digital governance systems.
Retail	PtH attacks on retail organizations target point-of-sale (POS) systems and supply chain networks. Attackers can steal customer payment data or implant malware through trusted vendor relationships. These breaches lead to data theft, financial losses, and brand damage, especially during peak sales periods when uptime is crucial.

Industry

Impact

Healthcare

PtH attacks in healthcare can lead to patient record theft, exposing sensitive medical and personal data that is protected under HIPAA. Compromised systems can also serve as entry points for ransomware attacks, which can further disrupt hospital operations, delay care, and even endanger patients. The resulting regulatory penalties and loss of public trust can have long-term effects on both finances and reputation.

Finance

In the financial sector, attackers using stolen hashes can impersonate employees and privileged users to access internal systems and initiate fraudulent transactions. The ability to move laterally within banking systems compounds the risk of large-scale breaches and insider-style fraud. This results in financial loss and exposes institutions to compliance violations under regulations like SOX or PCI DSS.

Government

When PtH techniques are used against government networks, the impact extends beyond data loss. Attackers can perform cyber-espionage, steal classified information, and disrupt critical public services. Such incidents can compromise national security and damage public confidence in digital governance systems.

Retail

PtH attacks on retail organizations target point-of-sale (POS) systems and supply chain networks. Attackers can steal customer payment data or implant malware through trusted vendor relationships. These breaches lead to data theft, financial losses, and brand damage, especially during peak sales periods when uptime is crucial.

Evoluzione degli attacchi e tendenze future

Lanciare attacchi pass-the-hash una volta richiedeva competenze tecniche avanzate. Oggi, toolkit automatizzati facilmente disponibili consentono agli aggressori di utilizzare questa tecnica come parte di catene di attacco più ampie.

PtH utilizzato nelle operazioni di ransomware-as-a-service (RaaS)

I gruppi di ransomware utilizzano sempre più PtH durante le fasi di infiltrazione della rete. Gli affiliati delle operazioni RaaS, come LockBit e BlackCat, usano hash rubati per muoversi lateralmente, ottenere privilegi di amministratore di dominio e distribuire ransomware su larga scala. Questa tattica di diffondersi rapidamente in un'organizzazione e poi distribuire ransomware massimizza i danni e il potenziale riscatto.

Nuovi strumenti ampliano le capacità degli attaccanti

Gli attaccanti ora dispongono di una varietà di strumenti che semplificano l'esecuzione di PtH. Strumenti come SharpKatz, Invoke-TheHash e Sharp-SMBExec offrono framework facili da usare per raccogliere e riutilizzare hash NTLM. Questi strumenti possono anche eludere i tradizionali antivirus e operare in memoria, rendendo più difficile la rilevazione. Consentono inoltre ad attaccanti meno esperti di lanciare efficacemente attacchi basati su credenziali.

Combinazione con pass-the-ticket e Kerberoasting in ambienti ibridi

In configurazioni ibride che collegano Active Directory con Entra ID, gli attaccanti combinano più tecniche basate sull'identità. Mescolano pass-the-hash con pass-the-ticket e Kerberoasting per compromettere sia l'infrastruttura on-premises che quella cloud. Questa catena di attacchi permette agli attori delle minacce di muoversi fluidamente tra i sistemi e persistere anche se una parte dell'ambiente viene rimediata.

Malware guidato dall'IA e automazione

Gli attaccanti stanno sfruttando l'IA e l'automazione per accelerare il furto di credenziali e il movimento laterale. Il malware guidato dall'IA può identificare dinamicamente obiettivi preziosi, estrarre hash in modo più efficiente ed eseguire movimenti laterali più furtivi. Questo riduce le finestre di rilevamento e aumenta la probabilità di compromissione completa della rete. I futuri attacchi PtH si baseranno su malware adattivo e autoapprendente che può bypassare le tradizionali protezioni di identità.

Statistiche chiave e infografiche

Questa sezione discute alcune statistiche e dati che mostrano come gli attacchi pass-the-hash influenzano e prevalgono nella vita reale. Dai risultati di indagini globali alle investigazioni sulle violazioni, il furto e il riutilizzo delle credenziali giocano un ruolo centrale negli incidenti informatici.

Secondo il 2026 Verizon Data Breach Investigations Report (DBIR), l'uso di credenziali rubate è stato coinvolto nel 36% delle violazioni, mentre il 62% di tutte le violazioni includeva un elemento umano come l'ingegneria sociale, l'abuso di privilegi e il furto di credenziali. Questi risultati evidenziano come la compromissione delle credenziali rimanga un fattore persistente e significativo negli attacchi informatici.
Le credenziali compromesse sono state la causa principale del 23% degli attacchi ransomware, secondo il rapporto The State of Ransomware 2025 di Sophos. Le tecniche di attacco basate sulle credenziali, incluso il pass-the-hash, sono tra i metodi che contribuiscono a questo vettore. Quando combinate con altri vettori di attacco basati sulle credenziali, le credenziali rubate o utilizzate in modo improprio rimangono uno dei principali abilitatori delle distribuzioni di ransomware.
Secondo il Sophos Active Adversary Report 2025, le credenziali compromesse sono state la causa principale nel 41% dei casi di risposta agli incidenti investigati nel 2024. Microsoft e altri fornitori di sicurezza continuano a mettere in guardia sul fatto che il dumping delle credenziali LSASS, un passaggio chiave negli attacchi PtH, rimane uno dei modi più comuni con cui gli aggressori ottengono le credenziali necessarie per muoversi lateralmente negli ambienti aziendali.

Ripartizione del vettore di accesso iniziale (2025)

I seguenti dati, tratti dal rapporto M-Trends 2026 di Mandiant, mostrano che le credenziali rubate rappresentavano il 9% dei vettori di accesso iniziale identificati nel 2025, sottolineando il loro ruolo continuo come punto di ingresso utilizzato dagli aggressori per muoversi lateralmente e aumentare i privilegi una volta all'interno.

Dai dati di Mandiant del 2025:

Sfruttamento delle vulnerabilità: 32%
Phishing vocale: 11%
Compromesso precedente: 10%
Credenziali rubate: 9%
Altri metodi: 38%

Considerazioni finali

Gli attacchi pass-the-hash esistono da decenni e funzionano ancora perché sfruttano qualcosa di fondamentale nel funzionamento dell'autenticazione di Windows. Non puoi semplicemente risolvere il problema con una patch o sperare che non accada a te. Le difese contro PtH sono ben comprese e sono efficaci. Le workstation di Privileged Access, la gerarchia delle credenziali e il monitoraggio dei movimenti laterali sono controlli che funzionano nella pratica.

Le credenziali memorizzate nella cache sono un obiettivo reale e accessibile. Blocca i percorsi che vi conducono. Non aspettare di essere nella risposta agli incidenti per scoprire dove sono le lacune.

Domande frequenti

Cos'è un attacco pass-the-hash?

In cosa PtH differisce da PtT?

Perché NTLM non è sicuro?

Quali strumenti vengono utilizzati per PtH?

Come possono le aziende prevenire PtH?

Quali settori sono più a rischio?

Qual è il ruolo di MFA nell'arrestare PtH?

Come rubano gli aggressori gli hash delle password?

Condividi su

Published: Jun 12, 2026

Darryl Baker

Ricercatore Senior di Sicurezza

Darryl G. Baker è un Senior Staff Security Researcher presso Netwrix e un’autorità riconosciuta nella sicurezza di Identity e Active Directory. Con oltre un decennio di esperienza nei sistemi di identità, ha guidato valutazioni di sicurezza aziendale, formazione sulla sicurezza dell’identità e emulazioni di minacce focalizzate su Active Directory, Entra ID e ambienti Azure. Darryl ha tenuto corsi e dimostrazioni molto apprezzati a BlueTeamCon, BSidesCT, The Experts Conference e Wild Wild West Hackin’ Fest. È l’architetto di numerosi laboratori pratici di emulazione di attacchi, sfruttando gli strumenti attuali di red team e blue team per aiutare i difensori a padroneggiare tutto, dall’analisi dei percorsi di attacco alla caccia alle minacce. Nelle sue sessioni, Darryl unisce una profonda conoscenza tecnica a casi di studio reali, permettendo ai professionisti del blue team di rafforzare la loro postura di sicurezza dell’identità e difendersi dalle tecniche avversarie in evoluzione.

Visualizza attacchi informatici correlati

Abuso dei permessi dell'applicazione Entra ID – Come funziona e strategie di difesa

Modifica di AdminSDHolder – Come funziona e strategie di difesa

Attacco AS-REP Roasting - Come Funziona e Strategie di Difesa

Attacco Hafnium - Come funziona e strategie di difesa

Spiegazione degli attacchi DCSync: minaccia alla sicurezza di Active Directory

Guida definitiva agli attacchi Golden SAML

Comprendere gli attacchi Golden Ticket

Spiegazione degli attacchi di sfruttamento gMSA e degli attacchi Golden gMSA

Attacco DCShadow – Come Funziona, Esempi Reali e Strategie di Difesa

ChatGPT Prompt Injection: Comprensione dei rischi, esempi e prevenzione

Spiegazione degli attacchi di estrazione NTDS.dit

Attacco Kerberoasting – Come Funziona e Strategie di Difesa

Spiegazione dell'attacco Pass-the-Ticket: Rischi, Esempi e Strategie di Difesa

Comprendere gli attacchi di password spraying

Comprendere l'estrazione delle password in testo semplice

Spiegazione della vulnerabilità Zerologon: Rischi, exploit e mitigazione

Una guida completa agli attacchi ransomware

Attacco Skeleton Key: come funziona e come rilevarlo

Movimento laterale: cos'è, come funziona e prevenzioni

Attacchi Man-in-the-Middle (MITM): cosa sono e come prevenirli

Perché PowerShell è così popolare tra gli aggressori?

4 attacchi agli account di servizio e come proteggersi

Come prevenire gli attacchi malware che impattano sulla tua azienda

Cos'è il Credential Stuffing?

Compromettere SQL Server con PowerUpSQL

Cosa sono gli attacchi di Mousejacking e come difendersi

Rubare credenziali con un Security Support Provider (SSP)

Attacchi con Rainbow Table: Come Funzionano e Come Difendersi

Uno sguardo approfondito agli attacchi alle password e come fermarli

Ricognizione LDAP

Bypassare MFA con l'attacco Pass-the-Cookie

Attacco Silver Ticket