Utilizando RDP
Tradicionalmente, PtH se ha asociado con protocolos como SMB y WinRM, pero no está directamente aplicable al protocolo de Escritorio Remoto (RDP) de la misma manera debido a las diferencias en la autenticación.
RDP no soporta directamente la autenticación basada en hash; en cambio, utiliza su propio mecanismo de autenticación que requiere la contraseña en texto claro o un ticket válido de Kerberos. Sin embargo, existe una característica en RDP conocida como "Restricted Admin Mode" que puede ser utilizada para una forma de autenticación similar a PtH.
El "Restricted Admin Mode" fue introducido en RDP para mitigar los ataques de robo de credenciales en servidores que ejecutan versiones de Windows a partir de Windows 8.1 y Windows Server 2012 R2. En este modo, las credenciales del administrador no se pasan al servidor al que se está conectando. Esto significa que, si el servidor es comprometido, el atacante no podrá obtener las credenciales de quien inició la sesión a través de RDP.
El comando para habilitar esta caracteristica:
Este comando de PowerShell crea o actualiza una entrada en el Registro de Windows para habilitar el modo de administrador restringido en el sistema. Cuando se establece el valor de DisableRestrictedAdmin a 0, el modo de administrador restringido está habilitado.
En el contexto de un ataque, si un atacante tiene el hash de la contraseña de un administrador y el modo de administrador restringido está habilitado, puede utilizar herramientas como wmiexec, smbexec, o psexec de la suite Impacket para iniciar sesión en el sistema de destino sin necesidad de la contraseña en texto claro. Esto podría permitir a un atacante lanzar una sesión RDP donde el servidor no reciba las credenciales completas del usuario, reduciendo así las huellas digitales que se dejan en el sistema atacado.
Última actualización
