🔐 Launch-Aktion: Spare 25% Rabatt auf alle Lernpfade & Zertifikate – Code LAUNCH25 gültig bis 18.03.
Menü
Matrix Background
Pass the Ticket

Pass the Ticket im Red Teaming verstehen

Was ist ein Pass the Ticket Angriff?

Definition und Grundlagen eines Pass the Ticket Angriffs

Ein Pass the Ticket Angriff ist eine Angriffstechnik innerhalb von Windows-Netzwerken, bei der ein Angreifer gestohlene Kerberos-Tickets verwendet, um sich gegenüber anderen Systemen im Netzwerk zu authentifizieren. Ähnlich wie beim bekannten Pass the Hash Angriff benötigt der Angreifer dabei nicht das eigentliche Passwort eines Benutzers, sondern nutzt vorhandene Authentifizierungsdaten, die bereits im System gespeichert sind.

In vielen Unternehmensnetzwerken wird das Kerberos-Authentifizierungsprotokoll eingesetzt, um sichere Anmeldungen innerhalb einer Active Directory Infrastruktur zu ermöglichen. Wenn ein Benutzer sich anmeldet, erhält er sogenannte Ticket Granting Tickets (TGT) und Service Tickets, mit denen er auf weitere Dienste im Netzwerk zugreifen kann.

Ein Angreifer kann diese Tickets aus dem Arbeitsspeicher eines kompromittierten Systems extrahieren und anschließend für eigene Anmeldeversuche verwenden. Da das Zielsystem lediglich überprüft, ob das Ticket gültig ist, kann der Angreifer damit Zugriff auf weitere Ressourcen erhalten, ohne das Passwort des Benutzers zu kennen.

In Red Teaming Szenarien und Penetration Tests wird Pass the Ticket gezielt untersucht, da diese Angriffstechnik eine wichtige Rolle beim Lateral Movement innerhalb von Unternehmensnetzwerken spielt.

Typischer Ablauf eines Pass the Ticket Angriffs

Ein Pass the Ticket Angriff beginnt meist mit der Kompromittierung eines Systems innerhalb eines Active Directory Netzwerks. Der Angreifer erhält dabei Zugriff auf einen Rechner, auf dem sich bereits ein authentifizierter Benutzer befindet.

Anschließend versucht der Angreifer, die im Arbeitsspeicher gespeicherten Kerberos-Tickets auszulesen. Diese Tickets enthalten Informationen über die Authentifizierung des Benutzers sowie über die Dienste, auf die er zugreifen darf.

Sobald ein gültiges Ticket extrahiert wurde, kann der Angreifer dieses Ticket in seine eigene Sitzung einfügen. Dadurch kann er sich gegenüber anderen Systemen im Netzwerk authentifizieren, als wäre er der legitime Benutzer.

Mit diesem Zugriff kann der Angreifer weitere Server oder Dienste erreichen, ohne erneut Anmeldedaten eingeben zu müssen. Dies ermöglicht es ihm, sich Schritt für Schritt innerhalb der Infrastruktur auszubreiten.

Diese Technik wird häufig verwendet, um Zugriff auf besonders wichtige Systeme wie Dateiserver, Datenbanken oder Domänencontroller zu erhalten.

Technischer Hintergrund von Kerberos-Tickets

Der technische Hintergrund eines Pass the Ticket Angriffs liegt in der Funktionsweise des Kerberos-Authentifizierungsprotokolls. Kerberos verwendet ein Ticket-basiertes System, um Benutzern den Zugriff auf Netzwerkressourcen zu ermöglichen.

Wenn ein Benutzer sich anmeldet, erhält er zunächst ein Ticket Granting Ticket (TGT). Mit diesem Ticket kann er anschließend weitere Service Tickets für verschiedene Dienste im Netzwerk anfordern.

Diese Tickets werden für eine bestimmte Zeit im Arbeitsspeicher des Systems gespeichert. Solange sie gültig sind, können sie für weitere Authentifizierungen genutzt werden.

Ein Angreifer kann dieses Verhalten ausnutzen, indem er ein gültiges Ticket aus dem Speicher extrahiert und es in einer anderen Sitzung verwendet. Da das Ticket bereits vom Key Distribution Center (KDC) signiert wurde, wird es vom Zielsystem als legitim akzeptiert.

Dadurch kann der Angreifer Zugriff erhalten, ohne das Passwort oder den Hash des Benutzers zu kennen.

Schwierigkeit und Gefährdungspotenzial eines Pass the Ticket Angriffs

Die Durchführung eines Pass the Ticket Angriffs erfordert zunächst Zugriff auf ein System, auf dem ein Benutzer bereits angemeldet ist. Sobald dieser Zugriff besteht, kann der Angriff relativ effizient durchgeführt werden.

Das Gefährdungspotenzial ist besonders hoch, weil Kerberos-Tickets innerhalb eines Netzwerks oft weitreichende Zugriffsrechte ermöglichen. Wenn ein Angreifer ein Ticket eines Administrators oder eines privilegierten Dienstkontos erhält, kann er umfangreiche Kontrolle über die gesamte Infrastruktur erlangen.

In vielen Cyberangriffen wird Pass the Ticket mit anderen Techniken kombiniert, etwa mit Credential Dumping, Privilege Escalation oder Lateral Movement. Dadurch können Angreifer langfristig Zugriff auf interne Systeme behalten.

Besonders in großen Unternehmensnetzwerken kann ein erfolgreicher Angriff dazu führen, dass mehrere Systeme kompromittiert werden und sensible Daten gefährdet sind.

Aus diesem Grund zählt Pass the Ticket zu den wichtigen Angriffstechniken, die bei Sicherheitsanalysen von Active Directory Umgebungen berücksichtigt werden müssen.

Schutzmaßnahmen gegen Pass the Ticket Angriffe

Um Pass the Ticket Angriffe zu verhindern, setzen Unternehmen mehrere Sicherheitsmaßnahmen ein. Eine wichtige Strategie ist die Härtung von Systemen, damit Kerberos-Tickets nicht einfach aus dem Arbeitsspeicher extrahiert werden können.

Auch der Einsatz moderner Sicherheitsfunktionen wie Credential Guard, Endpoint Detection and Response (EDR) oder erweitertes Security Monitoring kann verdächtige Aktivitäten erkennen.

Zusätzlich sollten privilegierte Konten besonders geschützt werden. Durch den Einsatz von Privileged Access Management und kurzen Ticket-Laufzeiten kann das Risiko reduziert werden, dass gestohlene Tickets missbraucht werden.

Auch eine konsequente Netzwerksegmentierung sowie regelmäßige Security Audits und Penetration Tests helfen dabei, mögliche Angriffspfade frühzeitig zu erkennen.

Durch eine Kombination aus Systemhärtung, Zugriffskontrollen und kontinuierlicher Überwachung kann das Risiko eines Pass the Ticket Angriffs deutlich reduziert werden.

Einsatz von Pass the Ticket im Red Teaming

Bei einer realistischen Angriffssimulation wird Pass the Ticket meist nicht isoliert eingesetzt. Angreifer kombinieren mehrere Techniken miteinander, um schrittweise Zugang zu Systemen zu erhalten. Zunächst erfolgt häufig eine Informationssammlung, danach wird ein Einstiegspunkt gesucht und anschließend versucht, die eigenen Zugriffsrechte auszubauen.


Für Verteidiger ist das Verständnis solcher Angriffstechniken entscheidend. Blue Teams analysieren beispielsweise Netzwerkverkehr, Authentifizierungsversuche und ungewöhnliche Systemaktivitäten, um genau solche Angriffsmuster frühzeitig zu erkennen.


Wer sich intensiver mit Cybersecurity beschäftigt, sollte daher sowohl die offensive als auch die defensive Perspektive verstehen. Nur so lässt sich nachvollziehen, wie Angriffe entstehen und welche Schutzmaßnahmen in Unternehmen wirklich wirksam sind.


Auf der Plattform Hacking-Kurse können Lernende ihr Wissen durch strukturierte Lernpfade vertiefen und anschließend Cybersecurity-Zertifikate erwerben. Diese Zertifikate dienen als praktischer Nachweis für Kenntnisse im Bereich Red Teaming, Ethical Hacking und IT-Sicherheit und können auch im beruflichen Umfeld als Qualifikationsnachweis genutzt werden.

Weitere Red-Team Themen:
phishing, spear-phishing, whaling, vishing, smishing, csrf, xss, sql-injection, command-injection, file-upload, directory-traversal, brute-force, password-spraying, credential-stuffing, session-hijacking, mitm, dns-spoofing, arp-spoofing, wifi-evil-twin, privilege-escalation, lateral-movement, token-impersonation, pass-the-hash, dll-hijacking, supply-chain, watering-hole, drive-by-download, data-exfiltration, persistence-mechanisms

Zurück zur Übersicht

Red Team Lernpfade ansehen »