Como verificar se o seu Windows 11 é vulnerável a ataques Pass-the-Hash

¿Como verificar se o seu Windows 11 é vulnerável a ataques "Pass-the-Hash"? Nos últimos anos, a preocupação com o Segurança no Windows 10 e Windows 11 O número de ataques disparou, e com razão. Há cada vez mais ataques que não precisam "quebrar" sua senha, mas sim explorar a forma como o próprio sistema gerencia suas credenciais. Um dos mais perigosos é o ataque Pass-the-Hash (PtH)que foi reforçada por vulnerabilidades como a CVE-2021-36934 (conhecida como HiveNightmare ou SeriousSAM) e por configurações incorretas comuns em redes corporativas.

Se você usa o Windows 11 em casa ou no trabalho, é essencial saber... Como verificar se seu computador é vulnerável ao ataque Pass-the-HashQuais são as vulnerabilidades existentes (registro SAM, NTLM, LSASS, BYOD, movimentação lateral, etc.) e quais proteções reais a Microsoft oferece (Credential Guard, Device Guard, Windows Hello para Empresas, chaves de acesso, atestado de integridade, MDM, segmentação, etc.)? Abaixo, você encontrará um guia completo, explicado em espanhol (Espanha) e com exemplos práticos, para ajudá-lo a entender o problema e maximizar a segurança do seu ambiente.

O que é um ataque Pass-the-Hash e por que ele é tão perigoso?

Um ataque Pass-the-Hash Consiste em um atacante roubar o hash da sua senha (geralmente um hash NTLM) e o utiliza diretamente para autenticar em outros sistemas, sem precisar conhecer a chave em texto simples. O sistema Windows aceita esse hash como prova de identidade, permitindo que o invasor faça login e navegue pela rede como se fosse o usuário legítimo.

Na prática, isso significa que Não é necessário descriptografar a senha.Basta capturar o hash da máquina comprometida (memória LSASS, banco de dados SAM, despejos de memória, cópias de sombra VSS, etc.) e reutilizá-lo contra outros hosts. Ferramentas conhecidas como Mimikatz, Cobalt Strike, Invoke-TheHash, SharpKatz ou wce Eles simplificam esse processo ao extremo.

Essa abordagem se encaixa perfeitamente na tática de Movimentação lateral no Active DirectoryApós obterem os hashes de contas locais ou de domínio (especialmente de administradores), os atacantes se movem de máquina para máquina, escalam privilégios, acessam dados confidenciais e, em muitos casos, acabam implantando ransomware ou roubando grandes volumes de informações.

Por que isso afeta o Windows principalmente (e como se compara a outros sistemas)

O Windows é especialmente atraente para esse tipo de ataque porque implementa mecanismos como os seguintes há anos: autenticação única (SSO) e armazena hashes NTLM e credenciais em cache para não precisar ficar pedindo a senha ao usuário o tempo todo. Isso é muito conveniente, mas também significa que Esses hashes estão disponíveis na memória ou no disco. e pode ser anulada se o equipamento estiver comprometido.

Em ambientes corporativos, onde Muitos computadores compartilham senhas de administrador local. (por exemplo, RID-500 com a mesma chave em todas as estações), as coisas pioram ainda mais: basta comprometer uma máquina para reutilizar o mesmo hash em dezenas ou centenas de dispositivos usando Pass-the-Hash.

Outros sistemas, como macOS Eles tendem a usar mais autenticação biométrica (impressão digital, Face ID, chaveiros com proteção de hardware) e dependem menos da reutilização de hashes NTLM. Linux e Unix também podem sofrer ataques semelhantes, mas na prática volume e homogeneidade do parque Windows Isso faz com que o verdadeiro foco da PtH seja esse ecossistema.

Como os hashes de senha são gerados e armazenados no Windows

Ao criar uma conta de usuário no Windows, o sistema gera um Hash NTLM sua senha e a armazena no banco de dados local. SAM (Gerente de Contas de Segurança) ou no controlador de domínio (no caso de contas de domínio). Esse hash é reutilizado em várias sessões até que você altere sua senha.

Além disso, durante o login, o processo LSASS (Serviço de Subsistema de Autoridade de Segurança Local) Ele carrega informações críticas na memória relacionadas a credenciais, tickets Kerberos e outros segredos. Se um invasor conseguir executar código com privilégios elevados, ele poderá despejar a memória LSASS e extrair hashes, tickets Kerberos (Pass-the-Ticket) e, em alguns casos, até mesmo senhas em texto simples.

Tudo isso significa que, se o seu Windows 11 não aplicar as proteções adequadas, Qualquer pessoa que consiga executar código localmente. (por exemplo, através de malware ou uma exploração de escalonamento de privilégios) tem um caminho muito viável para roubar credenciais e lançar ataques Pass-the-Hash.

CVE-2021-36934 (HiveNightmare / SeriousSAM): Windows 10 e Windows 11 são as vulnerabilidades mais expostas.

Uma das vulnerabilidades mais comentadas relacionadas ao PtH é CVE-2021-36934, conhecido como HiveNightmare ou SeriousSAM. Em certas versões do Windows 10 e Windows 11, o listas de controle de acesso (ACLs) a partir dos arquivos de configuração de %windir%\system32\config Eles estavam configurados de forma muito permissiva.

O problema é que Usuários do grupo "Usuários" (sem privilégios de administrador) Eles podiam ler, por meio de cópias de sombra do Serviço de Cópias de Sombra de Volume (VSS), os arquivos que continham os bancos de dados mais sensíveis do sistema: SAM, SISTEMA e SEGURANÇAIsso permite extrair hashes NTLM de todas as contas no dispositivo, incluindo contas de administrador, sem precisar ser um administrador local.

Um atacante que explore essa vulnerabilidade pode extrair esses bancos de dados, obter os hashes e usá-los em ataques. Pass-the-Hash Para escalar para administrador local ou até mesmo migrar para outros sistemas, dependendo de como as credenciais estão configuradas na rede.

Impacto real do HiveNightmare em ataques Pass-the-Hash

Com a vulnerabilidade CVE-2021-36934, um usuário com acesso local ao computador (ou malware em execução com permissões de usuário padrão) pode Ler hives do Registro a partir de um snapshot do VSS utilizando rotas especiais como \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyNA partir daí, ferramentas de análise offline podem extrair os hashes SAM e usá-los para quebra de segurança ou PtH.

Esse cenário torna qualquer endpoint Windows 10/11 afetado Numa espécie de "cofre aberto": mesmo que a conta atacada não tenha privilégios elevados, se administradores de equipe ou de domínio tiverem feito login, seus hashes estarão no sistema e poderão ser reutilizados para comprometer completamente o ambiente.

A Microsoft publicou a CVE, reconhecendo que a falha se devia a ACLs excessivamente abrangentes e medidas de mitigação recomendadas restringir o acesso a %windir%\system32\config e removendo cópias de sombra VSS vulneráveis. Correções oficiais foram lançadas posteriormente, mas por um tempo permaneceu um vetor de ataque lucrativo para operadores de ransomware e grupos APT.

Como saber se o seu Windows 11 é vulnerável ao ataque Pass-the-Hash

Não existe uma única "verificação" que indique se o seu Windows 11 é imune, porque Pass-the-Hash é uma técnica, não um bug isolado.No entanto, você pode avaliar diferentes aspectos que, combinados, determinam o seu nível de exposição:

• Versão do Windows e status de patches (CVE-2021-36934 e outras vulnerabilidades de escalonamento).
• Configuração e autenticação NTLM (caso o NTLM seja amplamente utilizado, SSO não controlado, etc.).
• Gerenciamento de credenciais e hashes (LSASS acessível, SAM exposto, cópias sombra desprotegidas).
• Utilização de proteções avançadas tais como o Credential Guard, o Device Guard e a segurança baseada em virtualização.
• Modelo de privilégio (se os usuários forem administradores locais, se as senhas forem reutilizadas entre computadores, etc.).

1. Verifique a versão do Windows e as CVEs relevantes.

Para começar, no seu Windows 11 (ou 10), você pode verificar o versão exata correndo winver (Win + R > escrever) winverAs versões afetadas pela CVE-2021-36934 correspondem ao Windows 10 a partir da versão 1809 e a determinadas versões do Windows 11.

Se a sua configuração corresponder àquelas documentadas pela Microsoft para o SeriousSAM e Você não instalou os patches cumulativos subsequentes.É muito provável que seu sistema tenha sido ou ainda seja vulnerável. É recomendável Analise o histórico do Windows Update e verifique se as atualizações de segurança associadas à CVE foram aplicadas.

Além disso, outras vulnerabilidades devem ser consideradas. elevação de privilégios que, embora não estejam diretamente ligados ao SAM, permitem que um atacante obtenha privilégios de administrador e, a partir daí, extraia o conteúdo do LSASS ou do banco de dados de usuários local sem muita resistência.

2. Verifique se as ACLs do SAM e do SISTEMA são muito permissivas.

O cerne do problema em HiveNightmare era o ACLs excessivamente permissivas na pasta \Windows\System32\configPara verificar manualmente, você pode:

• Vai C:\Windows\System32\config, clique com o botão direito do mouse > Propriedades > Segurança.
• Verifique se o grupo Usuários possui permissões de leitura (RX) nos arquivos SAM, SISTEMA e SEGURANÇA.

Embora o acesso direto a esses arquivos geralmente seja protegido, o grande truque é que Os snapshots do VSS herdam essas ACLs.Portanto, mesmo que o acesso em tempo real pareça estar negado, um usuário padrão pode ler os mesmos arquivos a partir de uma cópia de sombra mais antiga, desde que tenha permissões de leitura no caminho original.

Para complicar ainda mais as coisas, muitos sistemas habilitaram Histórico de arquivos ou Restauração do sistemaIsso gera snapshots VSS sem que o administrador esteja totalmente ciente da área de superfície adicional que isso abre caso as ACLs estejam configuradas incorretamente.

3. Analise o uso de NTLM, SSO e reutilização de credenciais.

Outro fator crítico é o quanto você depende de NTLM e autenticação única (SSO)Em redes antigas ou com segurança precária, o NTLM é usado em excesso e não se restringe a cenários realmente necessários. Isso abre caminho para ataques Pass-the-Hash e outros abusos, como... Relés NTLM.

Você também deve se preocupar com o reutilização de senhas de administrador localSe a conta RID-500 (Administrador Integrado) ou qualquer outra conta local privilegiada compartilhar a mesma senha em vários computadores, um único vazamento de hash multiplica o impacto potencial do ataque por dez ou cem vezes.

Ferramentas como a solução gratuita Microsoft LAPS (Solução de Senha de Administrador Local) Eles permitem gerar e rotacionar automaticamente uma senha aleatória e exclusiva para o administrador local de cada máquina, reduzindo drasticamente a eficácia do PtH baseado em contas locais.

4. Verifique se o Credential Guard e a segurança baseada em virtualização estão ativados.

No Windows 10/11 Enterprise e edições compatíveis, a Microsoft oferece Credential Guard, uma das defesas mais poderosas contra ataques Pass-the-Hash. Este recurso depende do Segurança baseada em virtualização (VBS) e no Hyper-V para isolar segredos do LSASS em um contêiner protegido, inacessível até mesmo a um kernel comprometido.

Quando o Credential Guard está ativado, os hashes de domínio e outros segredos não são armazenados diretamente na memória visível do LSASS, mas em um processo isolado (lsaiso.exe) controlado pelo hipervisor. Isso impede muitos ataques clássicos de despejo de memória do LSASS e mitiga muitos cenários tradicionais de PtH.

Para verificar se o VBS e o Credential Guard estão ativos, você pode usar ferramentas como... msinfo32 (revisando a seção "Recursos de segurança baseados em virtualização") ou políticas de grupo em Modelos administrativos > Sistema > Device Guard e opções para "Segurança baseada em virtualização" e "Proteção de credenciais".

Em ambientes corporativos, o uso do Credential Guard também envolve a verificação dos requisitos de hardware: TPM 2.0, inicialização segura, UEFI e suporte à virtualização são componentes essenciais para o funcionamento correto do VBS.

Como funciona o ataque Pass-the-Hash passo a passo

Em um ambiente Windows típico, um ataque Pass-the-Hash se desenrola em várias fases que os grupos de ameaças automatizaram extensivamente:

1. Acesso inicialExploração de vulnerabilidades, phishing, execução de malware, roubo de credenciais, etc.
2. Escalada de privilégios (se necessário): aproveitar falhas de elevação de privilégios ou erros de configuração para obter acesso ao administrador local ou ao sistema.
3. Despejo de hashExtração de hashes NTLM de cópias de sombra SAM, LSASS ou VSS usando ferramentas como Mimikatz, Cobalt Strike, pth-tools ou scripts do PowerShell.
4. Autenticação remota: utilização de hashes roubados para autenticar em outros computadores via SMB, RDP, WMI, WinRM ou outros protocolos, imitando logins legítimos.
5. Movimento lateral e persistênciaCriação de novas contas, distribuição de malware, uso de tarefas agendadas, serviços ou backdoors para manter o acesso.

Um exemplo clássico descrito por diversos estudos mostra como, a partir da conta de administrador local, é possível fazer isso. RID-500 Usar a mesma senha em vários computadores, um hashdump Com o Cobalt Strike ou o Mimikatz, o hash NT é copiado e, em seguida, um comando é executado. pth ou é usado Invoke-TheHash Executar ações remotas em outros computadores com o mesmo hash.

Ainda mais avançado é o uso de roubar_token ou técnicas semelhantes para falsificar tokens de segurança de processos do SISTEMA, controlar serviços remotos via sc.exe, wmic o schtaskse implantar ransomware ou ferramentas de administração remota em toda a rede com muito pouco esforço.

Por que os ataques Pass-the-Hash são tão eficazes no mundo real?

A eficácia do Pass-the-Hash não é teórica: numerosos grupos APT e gangues de ransomware Eles o utilizam rotineiramente. O MITRE ATT&CK documenta seu uso por agentes como APT41, APT29, FIN13, APT31 e outros, que combinam PtH com Pass-the-Ticket, Kerberoasting e abuso de NTLM para se movimentarem lateralmente em redes complexas.

Investigações recentes mostram campanhas em que operadores de MedusaLocker (BabyLockerKZ), APT29 ou BRONZE VINEWOOD Eles integram scripts em seus conjuntos de ferramentas, como por exemplo: Invoke-TheHashVersões em C#, como o Sharp-SMBExec, e utilitários clássicos como o PsExec e o Mimikatz, para industrializar o uso de hashes NTLM e tickets Kerberos roubados.

Em paralelo, a tendência para ataques Vivendo da Terra (LOTL) A detecção é complexa: envolve o uso indevido do PowerShell, WMI, ferramentas nativas do Windows e credenciais legítimas, sem exigir malware altamente visível. Em muitos ambientes, isso passa por tráfego normal durante semanas ou meses, até que o invasor inicie sua fase final (por exemplo, criptografando dados ou exfiltrando grandes quantidades de informações).

Principais medidas de proteção contra ataques Pass-the-Hash no Windows 11

Para minimizar a probabilidade e o impacto de um ataque Pass-the-Hash no Windows 11 (e no Windows 10), é necessário combinar várias camadas de proteção, tanto no nível do sistema quanto em termos de segurança. equipamento individual como arquitetura de rede e identidadeAlgumas das mais relevantes são:

1. Ative o Credential Guard e a segurança baseada em virtualização.

Como já discutimos, Credential Guard Ele usa Hyper-V e VBS para isolar credenciais corporativas e hashes confidenciais, impedindo que malware leia esses segredos diretamente do LSASS. Para habilitá-lo, você pode:

• Em ambientes corporativos, utilize Diretiva de grupo en Configuração do dispositivo > Modelos administrativos > Sistema > Device Guard e habilitar "Segurança baseada em virtualização" e "Proteção de credenciais".
• Certifique-se de que seu hardware seja compatível com UEFI, inicialização segura, TPM 2.0 e virtualização (Intel VT-x/AMD-V com SLAT).

Uma vez ativado, o Credential Guard quebra grande parte dos vetores PtH clássicosIsso ocorre porque os hashes e os tickets não são mais armazenados onde as ferramentas tradicionais de extração esperam encontrá-los. Essa proteção é especialmente importante em estações de trabalho administrativas, servidores críticos e equipes que acessam recursos de alto valor.

2. Use o Windows Hello para Empresas e chaves de acesso (autenticação sem senha)

Uma abordagem ainda mais robusta é parar de depender tanto de senhas. Windows Hello para Empresas (WHfB) e o Chaves de acesso baseadas em FIDO2 Eles mudam completamente o modelo: em vez de hashes NTLM reutilizáveis, eles usam criptografia de chave pública/privada vinculado ao dispositivo e ao usuário.

Neste modelo, o A chave privada nunca sai do dispositivo seguro. (TPM, enclave de hardware), e a chave pública reside no servidor de autenticação (por exemplo, Microsoft Entra ID, anteriormente Azure AD). Se um invasor roubar o que costumava ser o "hash", ele não precisa, na verdade, passar nada para outro sistema, porque Não existe nenhum hash NTLM que possa ser reutilizado..

No Windows 11, você pode configurar o WHfB e as chaves de acesso em Configurações > Contas > Opções de entrada, vestindo reconhecimento facial, impressão digital ou PIN robustoEm ambientes corporativos, a implementação é orquestrada com o Intune ou políticas de grupo, usando modelos como "confiança na nuvem" ou "confiança de certificado híbrida" para integrar com o Microsoft Enterprise ID e obter SSO sem depender do NTLM.

3. Reduza os privilégios e gerencie as contas de administrador adequadamente.

Outro pilar básico é aplicar um modelo de privilégio mínimoUsuários em departamentos padrão (RH, finanças, marketing, etc.) não devem ser administradores locais de suas equipes. Cada conta com privilégios de administrador local representa mais uma oportunidade para a PtH ter sucesso.

Além disso, as senhas de Gerenciador integrado RID-500 deve ser único e aleatório em cada equipeComo já mencionado, as soluções LAPS ou de gerenciamento de contas privilegiadas (PAM) comerciais podem automatizar essa rotação, impedindo que o mesmo hash local conceda acesso a várias estações de trabalho.

Também é importante estruturação dos níveis administrativosSepare claramente as contas de nível 0 (controladores de domínio, infraestrutura crítica), as contas de nível 1 (servidores de aplicativos) e as contas de nível 2 (estações de trabalho), e limite rigorosamente os locais de onde as contas com mais privilégios podem fazer login para minimizar a exposição da memória.

4. Atualize o Windows e gerencie as cópias de sombra do VSS.

Manter o sistema atualizado não é um conselho vazio: muitos ataques de ponto de perfuração (PtH) e de escalonamento de privilégios dependem disso. vulnerabilidades corrigidas há muito tempoCertifique-se de que o Windows Update aplique regularmente os boletins de segurança, especialmente aqueles relacionados a LSASS, SAM, NTLM e protocolos de autenticação.

No caso específico do HiveNightmare, a Microsoft recomendou restringir as ACLs de %windir%\system32\config y excluir cópias de sombra que já incluía permissões frouxas. Comandos como vssadmin list shadows y vssadmin delete shadows Eles ajudam a inventariar e limpar os snapshots, sempre tomando cuidado para não excluir backups críticos.

Retomando o ponto anterior, lembre-se de que as cópias VSS podem permitir a leitura de hives vulneráveis. offlinePortanto, o simples monitoramento de acessos frequentes ao SAM ou ao SYSTEM pode não ser suficiente para detectar a exploração desse canal.

5. Reforçar a inicialização segura, o TPM e as defesas baseadas em hardware.

O Windows 11 tira grande proveito de tecnologias de baixo nível, como... Inicialização segura UEFI, TPM 2.0, Antimalware de inicialização antecipada (ELAM), Device Guard e integridade de código baseada em hipervisor (HVCI)Tudo isso ajuda a impedir o carregamento de rootkits, bootkits ou drivers maliciosos que poderiam alterar o processo de inicialização e ocultar o roubo de credenciais.

El TPM Desempenha um papel fundamental na verificação de status e na proteção de chaves (BitLocker, Windows Hello, certificados, etc.). As medições de inicialização são armazenadas em PCR (Registros de Configuração da Plataforma) e pode ser enviado para Serviço de atestação de status remoto da Microsoft para que as soluções MDM (como o Intune) possam verificar se o dispositivo está em boas condições antes de permitir o acesso a recursos confidenciais.

Combinando BitLocker A inicialização segura e o TPM dificultam o acesso físico do usuário (por exemplo, um invasor que rouba o laptop) a outros dispositivos. Inicializar a partir do USBMonte o disco e extraia os hashes NTLM ou os hives SAM sem autenticação.

Detecção de ataques Pass-the-Hash e movimentação lateral

Mesmo com todas as proteções implementadas, é prudente presumir que um invasor ainda possa conseguir entrar. É por isso que você precisa boas capacidades de detecção e resposta nos seus dispositivos finais e na sua rede.

As soluções de EDR (Detecção e Resposta de Ponto Final) Ferramentas como o Microsoft Defender for Endpoint (MDE) são capazes de detectar tentativas de extração de credenciais, execução do Mimikatz, abuso do LSASS, uso suspeito do PsExec, WMI, PowerShell e padrões Pass-the-Hash e Pass-the-Ticket. Essas ferramentas geralmente oferecem recursos de busca de ameaças para permitir que os analistas do SOC procurem por comportamentos anômalos.

No Windows, eventos importantes como 4624 (login bem-sucedido), 4625 (falha), 4648 (uso de credenciais explícitas) e 4769 (solicitação de ticket Kerberos) Eles permitem a identificação de padrões de movimentação lateral se devidamente correlacionados dentro de um SIEM. Da mesma forma, o Sysmon proporciona visibilidade adicional significativa sobre a criação de processos, o acesso a arquivos confidenciais e as conexões de rede.

Regras específicas de monitoramento para HiveNightmare e SAM

Após a descoberta da vulnerabilidade CVE-2021-36934, muitos fornecedores de segurança publicaram regras para detectar tentativas de exploração das vulnerabilidades SAM e SYSTEM. Por exemplo:

• Alerta sobre execuções de reg.exe que eles acessam HKLM\\system, HKLM\\security o HKLM\\sam de usuários que não são administradores.
• Monitore os comandos do PowerShell que incluem caminhos para \\GLOBALROOT\Device\HarddiskVolumeShadowCopyN\Windows\System32\config\(sam|system|security).
• Habilitar SACL nos arquivos SAM, SYSTEM e SECURITY, para registrar 4663 eventos de leitura por qualquer usuário e correlacioná-los com acessos do VSS.

Essas detecções, combinadas com outras para WMI, Mimikatz, tarefas agendadas e atividades de movimentação lateral, aumentam consideravelmente as chances de detectar um ataque Pass-the-Hash antes que ele se consolide e cause um desastre.

Ambientes BYOD, MDM e de controle de acesso condicional

Em cenários de Traga seu próprio dispositivo (BYOD) E com a mobilidade, o problema se agrava, pois cada vez mais usuários acessam recursos corporativos a partir de dispositivos pessoais ou mal gerenciados. É aí que entram as soluções da [nome da empresa/organização]. MDM (Gerenciamento de Dispositivos Móveis) como o Microsoft Intune e o conceito de acesso condicional ID de login da Microsoft.

O Windows integra um cliente MDM que permite que essas soluções apliquem políticas de segurança, coletem informações de inventário, imponham criptografia, exijam versões mínimas do sistema operacional e, muito importante, usem o atestado estadual Para verificar se o dispositivo inicializa em um estado confiável (com inicialização segura, BitLocker ativo, Device Guard configurado, etc.).

O controle de acesso condicional pode combinar a identidade do usuário, o status de conformidade do dispositivo e outros fatores (localização, tipo de aplicação) para decidir se concede acesso a recursos como o Office 365, aplicações SaaS ou aplicações locais publicadas através de proxy de aplicação ou ADFS. Isto significa que um dispositivo potencialmente vulnerável a PtH pode ser bloqueado ou ter o acesso muito limitado até estar em conformidade com as políticas da empresa.

Nuvem, movimento lateral avançado e tendências futuras

A movimentação lateral e os ataques a credenciais não se limitam mais a ambientes locais. Em plataformas nuvem e contêineres (Kubernetes, Docker, serverless)Os atacantes exploram contas de serviço, funções do IAM, entidades de serviço e tokens para se movimentarem entre serviços e contas, às vezes com mais facilidade do que em redes tradicionais.

Na AWS, por exemplo, uma função do IAM associada a uma instância EC2 comprometida pode permitir que um invasor... assumir outras funções e se mover lateralmente entre contas e serviços. No Azure, o compromisso de um serviço principal Com permissões amplas, você pode acessar recursos críticos distribuídos por várias assinaturas.

No mundo dos contêineres, as vulnerabilidades de escape de contêineres (T1611), o abuso de tokens de contas de serviço do Kubernetes e os ataques maliciosos a imagens em repositórios públicos ilustram como a lógica de "roubo e reutilização de segredos" por trás do Pass-the-Hash migrou para outras camadas da infraestrutura.

Em última análise, proteger o Windows 11 contra ataques Pass-the-Hash pressupõe que os invasores estejam visando seu sistema. credenciais e hashes como seu ativo mais valioso, e implementando consistentemente todas as defesas disponíveis: desde patches e boas ACLs no SAM e VSS, até Credential Guard, Windows Hello para Empresas, LAPS, segmentação de rede, EDR e acesso condicional; quanto mais você reduzir a exposição de seus hashes e a capacidade de movimentá-los lateralmente, menos opções um adversário terá para transformar uma simples máquina comprometida em um incidente de grandes proporções.