Pass-the-Hash e Pass-the-Ticket: come funzionano le tecniche di movimento laterale

Pass-the-Hash e Pass-the-Ticket sono tecniche di lateral movement che sfruttano hash NTLM e ticket Kerberos per muoversi in rete senza la password in chiaro.

La maggior parte degli attacchi informatici non si conclude con il primo sistema compromesso. Ottenere un punto d’ingresso è solo l’inizio, perché l’obiettivo reale è spostarsi all’interno della rete, raggiungere sistemi più critici, scalare i privilegi e arrivare dove i dati hanno più valore. Questo processo si chiama movimento laterale e le credenziali sono il suo carburante principale. Due sono le tecniche più efficaci e difficili da rilevare: Pass-the-Hash e Pass-the-Ticket.

Cos’è il movimento laterale
Pass-the-Hash: autenticarsi senza la password
Pass-the-Ticket: autenticarsi senza le credenziali
Differenze, punti in comune e catena di attacco combinata
Come difendersi da Pass-the-Hash e Pass-the-Ticket

Le tecniche di movimento laterale che sfruttano NTLM e Kerberos in ambienti Active Directory

Entrambe non richiedono la password in chiaro, non generano tentativi di accesso falliti e non lasciano i segnali classici che i sistemi di difesa sono abituati a cercare. Sfruttano invece ciò che Windows conserva in memoria dopo un’autenticazione riuscita: un hash o un ticket.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è il movimento laterale

Prima di parlare delle tecniche in questione, è bene esporre cosa sia la categoria di attacco a cui esse appartengono, in modo da avere un quadro quanto più chiaro della situazione

Un movimento laterale è la fase di un attacco in cui un attore malevolo, dopo aver ottenuto accesso iniziale a un sistema, si sposta progressivamente verso altri sistemi della stessa rete. L’obiettivo non è restare dove si è entrati, ma raggiungere risorse di maggior valore: domain controller, server di database, sistemi di backup, archivi di credenziali. La catena tipica parte da un punto di compromissione iniziale, spesso ottenuto tramite phishing o sfruttamento di una vulnerabilità.

Ciò che rende questa fase così insidiosa e critica, è che avviene utilizzando meccanismi di autenticazione legittimi. L’attaccante non installa necessariamente malware su ogni sistema che raggiunge, ma si autentica attraverso credenziali sottratte in precedenza, o sfruttando artefatti di autenticazione. In questo modo, genera un traffico di rete indistinguibile da quello di un regolare flusso di autenticazione. Secondo un rapporto di MITRE ATT&CK, si stima che nel solo 2025 le tecniche di movimento laterale siano state usate da oltre 40 collettivi cybercriminali, inclusi gruppi APT e operatori di ransomware.

Pass-the-Hash: autenticarsi senza la password

Il Pass-the-Hash (PtH) è una tecnica di movimento laterale che sfrutta a proprio vantaggio il protocollo NTLM (NT LAN Manager). Questo subentra come meccanismo autenticazione in assenza di Kerberos su Windows. In NTLM, l’autenticazione non richiede la trasmissione della password in chiaro, in quanto il client invia direttamente l’hash NTLM della password in risposta a una challenge del server. Questo significa che, per autenticarsi, è sufficiente possedere l’hash, piuttosto che conoscere la password originale.

Gli hash NTLM vengono conservati nel processo LSASS.exe (Local Security Authority Subsystem Service), che gestisce le sessioni di autenticazione attive sul sistema. Un attaccante che dispone di privilegi elevati su una macchina compromessa può estrarre questi hash dalla memoria di LSASS usando strumenti come Mimikatz. In alternativa, può far ricorso a tecniche di dump del processo come ProcDump o Shadow Copy. Gli hash estratti includono quelli di tutti gli utenti con sessioni attive sulla macchina, inclusi eventualmente amministratori di dominio che si sono connessi in remoto.

Una volta in possesso dell’hash, l’attaccante lo usa per autenticarsi su altri sistemi della rete tramite protocolli che accettano NTLM, come SMB, RDP, WMI, o WinRM. Strumenti come Impacket, CrackMapExec o Evil-WinRM permettono di specificare direttamente l’hash al posto della password. Il movimento avviene silenziosamente, senza generare eventi di accesso fallito, mentre l’hash rimane valido finché la password dell’account non viene cambiata.
Sebbene Microsoft abbia deprecato NTLM nel 2024, il protocollo è ancora ampiamente presente negli ambienti ibridi e legacy.

Pass-the-Ticket: autenticarsi senza le credenziali

Il Pass-the-Ticket (PtT) opera su un protocollo diverso: Kerberos, il sistema di autenticazione predefinito negli ambienti Active Directory. In Kerberos, l’autenticazione non avviene tramite hash, ma tramite ticket rilasciati dal Key Distribution Center (KDC), il servizio che risiede sul domain controller. Esistono due tipi di ticket:

TGT (Ticket Granting Ticket), rilasciato al login e usato per richiedere altri ticket;
TGS (Ticket Granting Service), specifico per accedere a un singolo servizio.

Com’è facile intuire, il TGT è il bersaglio più prezioso, perché consente di impersonare l’utente per qualsiasi servizio abbia i permessi di accedere.

I ticket di Kerberos vengono conservati in memoria nella sessione di autenticazione dell’utente corrente. Un attaccante con accesso alla macchina può estrarli usando Mimikatz con il comando kerberos::list /export, oppure tramite Rubeus con triage e dump. I ticket estratti, in formato .kirbi, vengono poi iniettati nella sessione corrente dell’attaccante con i comandi kerberos::ptt o Rubeus asktgt /ptt, permettendo di agire come l’utente originale fino alla scadenza del ticket.

Una variante più grave è il Golden Ticket. Se l’attaccante compromette l’hash dell’account KRBTGT, può forgiare TGT arbitrari per qualsiasi utente del dominio, con validità praticamente illimitata. Il Silver Ticket è invece un TGS forgiato per un servizio specifico, usando l’hash dell’account di servizio associato. L’aspetto più critico del Pass-the-Ticket è che l’MFA interviene minimamente. Questo perché il ticket viene estratto da una sessione già autenticata, per cui il secondo fattore è già stato superato.

Differenze, punti in comune e catena di attacco combinata

Pass-the-Hash e Pass-the-Ticket condividono la stessa logica: usare un artefatto di autenticazione già presente in memoria per muoversi lateralmente senza conoscere la password. Le differenze operative riguardano il protocollo, il tipo di credenziale e la persistenza. Come abbiamo potuto vedere nei paragrafi precedenti, il Pass-the-Hash viene impiegato per attacchi con maggior copertura, poiché NTLM è supportato fuori dal dominio, mentre Pass-the-Ticket è più confinato agli ambienti Active Directory.

Nella pratica, le due tecniche vengono spesso concatenate in una sequenza più ampia. Una tipica catena di attacco segue queste fasi:

Il cybercriminale inizia con il phishing per ottenere un entry point;
Procede con il dump degli hash da LSASS;
Sfrutta il Pass-the-Hash per muoversi lateralmente verso un server con un account di servizio;
Applica Kerberoasting per ottenere le credenziali di quell’account;
Usa il Pass-the-Ticket per accedere ai servizi target, attraverso Silver Ticket.

Se viene compromesso il domain controller, l’attacco si completa con DCSync, che permette di estrarre tutti gli hash del dominio, incluso quello di KRBTGT, aprendo la strada al Golden Ticket e alla persistenza a lungo termine.

Come proteggersi dal Pass-the-Hash e dal Pass-the-Ticket

La difesa contro Pass-the-Hash e Pass-the-Ticket richiede misure specifiche per ciascuna tecnica. Queste vanno poi integrate in una strategia di rafforzamento generale delle identità e dell’infrastruttura Active Directory.

Contromisure per Pass-the-Hash

Abilitare Windows Defender Credential Guard.
Disponibile da Windows 10 e Windows Server 2016, Credential Guard usa la virtualizzazione per isolare LSASS in un ambiente protetto, impedendo alle applicazioni malevole di accedere agli hash in memoria anche con privilegi elevati.
Implementare LAPS (Local Administrator Password Solution).
LAPS randomizza e gestisce centralmente le password degli account amministratori locali, eliminando il problema degli account con la stessa password su più macchine che un attaccante potrebbe sfruttare per muoversi lateralmente.
Restringere o disabilitare NTLM.
Dove possibile, forzare l’uso di Kerberos come protocollo di autenticazione e bloccare NTLM tramite Group Policy. Nei casi in cui NTLM non può essere disabilitato completamente, abilitare l’SMB signing per ridurre il rischio di relay attacks.
Applicare il principio del minimo privilegio.
Evitare che gli amministratori si autentichino su workstation ordinarie con account privilegiati. Un hash di un amministratore di dominio estratto da una workstation compromessa è una delle vie più dirette verso il domain takeover.

Contromisure per Pass-the-Ticket

Doppio reset della password (Credential DoubleTap).
Quando un account è compromesso, reimpostare la password due volte in rapida successione per invalidare tutti i ticket Kerberos emessi con il vecchio hash.
Aggiungere gli account privilegiati al gruppo Protected Users.
Questo gruppo applica restrizioni Kerberos più stringenti, impedendo la delega delle credenziali e riducendo la finestra di sfruttamento dei ticket.
Pianificare il purge periodico dei ticket in memoria.
Usare il comando klist purge su workstation e server amministrativi per rimuovere i ticket cached e ridurre la superficie esposta in caso di compromissione.
Monitorare gli Event ID critici.
Il rilevamento comportamentale si basa sull’analisi degli eventi di Windows: 4624 (accesso riuscito, tipi 3 e 9), 4768 e 4769 (richiesta TGT e TGS), 4776 (autenticazione NTLM). Anomalie come TGT con durata inusuale, richieste di ticket per account non attivi o autenticazioni da IP incoerenti con la posizione dell’utente sono indicatori di compromissione concreti.

In conclusione

Pass-the-Hash e Pass-the-Ticket sono tecniche consolidate e documentate nel framework MITRE ATT&CK da anni. Eppure, continuano a essere tra i vettori di movimento laterale più usati nelle campagne APT e negli attacchi ransomware del 2025 e 2026. La ragione è che funzionano, sono silenziose e sfruttano meccanismi di autenticazione che nessuna organizzazione può semplicemente disabilitare dall’oggi al domani.

Difendersi richiede una combinazione di rafforzamento tecnico, monitoraggio comportamentale e governance delle identità. Nessuna singola misura è sufficiente da sola, perché la difesa efficace è quella che riduce la superficie su ogni livello della catena, rendendo ogni passo più costoso per chi attacca.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.