Identificando servicios para realizar el PTH

1. SMB (Server Message Block)

• Uso en PtH: SMB es a menudo el objetivo principal en ataques PtH, especialmente en versiones anteriores como SMBv1 y SMBv2.

• Cómo Funciona: En un ataque PtH, un atacante utiliza el hash NTLM de un usuario para autenticarse en un servidor o recurso compartido a través de SMB.

• Puertos:

  • TCP 445 para SMB directo sobre TCP/IP.

  • TCP 139 y UDP 137-138 en redes que usan NetBIOS sobre TCP/IP.

2. RDP (Remote Desktop Protocol)

• Uso en PtH: En ciertas configuraciones y versiones de RDP, es posible utilizar PtH para autenticarse.

• Restricciones Actuales: Las versiones más recientes de RDP y las configuraciones seguras han mitigado en gran medida la efectividad de PtH, aunque sigue siendo un vector potencial dependiendo de la configuración del sistema.

• Puertos:

  • TCP 3389 es el puerto predeterminado utilizado por RDP.

3. WinRM (Windows Remote Management)

• Uso en PtH: WinRM puede ser susceptible a PtH, permitiendo a un atacante ejecutar comandos remotamente utilizando el hash de un usuario.

• Consideraciones: La configuración de seguridad y las versiones de WinRM influyen en su vulnerabilidad a PtH.

• Puertos:

  • HTTP: TCP 5985 es el puerto predeterminado para WinRM 2.0 (y posteriores) sobre HTTP.

  • HTTPS: TCP 5986 es el puerto utilizado para WinRM sobre HTTPS.

4. WMI (Windows Management Instrumentation)

• Uso en PtH: A través de WMI, es posible ejecutar comandos o scripts en sistemas remotos utilizando hashes de credenciales.

• Contexto: WMI es comúnmente utilizado para administración remota, lo que lo convierte en un objetivo atractivo para PtH.

• Puertos:

  • WMI utiliza DCOM (Distributed Component Object Model), que a su vez usa un rango de puertos dinámicos. Por defecto, estos están en el rango de TCP 1024-65535.

  • Para simplificar la administración de la red, se puede configurar DCOM para usar un conjunto más pequeño de puertos estáticos.

5. MSSQL (Microsoft SQL Server)

• Uso en PtH: Si SQL Server está configurado para autenticación integrada de Windows, un atacante podría utilizar PtH para conectarse.

• Dependencia de Configuración: La vulnerabilidad a PtH depende de cómo esté configurado SQL Server y del entorno de red.

• Puertos:

  • El puerto predeterminado para MSSQL Server es TCP 1433.

  • Para SQL Server Browser, se utiliza UDP 1434.