← Tüm terimler
Pass-the-Hash Saldırısı

Pass-the-Hash Saldırısı Nedir?

Pass-the-hash, saldırganların parolanın kendisi yerine çalınmış parola özetiyle kimlik doğrulamasına ve Windows ağlarında yanal hareket etmesine olanak verir.

Son güncelleme: 15 Temmuz 2026

Pass-the-Hash Nasıl Çalışır

Windows ortamlarında NTLM kimlik doğrulama protokolü, kimliği parolanın kendisiyle değil, parolanın özetiyle kanıtlar. Bunun sonucu ince ama ağırdır: NTLM için özet, işlevsel olarak parolaya eşdeğerdir. Özeti ele geçiren bir saldırgan, hiçbir şey kırmasına gerek kalmadan o kullanıcı olarak doğrudan kimlik doğrulayabilir.

Özetler, saldırganın zaten kontrol ettiği sistemlerden toplanır: kimlik doğrulama alt sisteminin belleğinden, yerel hesap veritabanından veya kayıtlı kimlik bilgisi depolarından. Bu genellikle o ilk makinede yönetici hakları gerektirir. Çalınan özet daha sonra NTLM kimlik doğrulamasını kabul eden diğer sistemlere sunulur; her yeni ana bilgisayarda dosya erişimi, uzaktan çalıştırma ve yeni kimlik bilgisi toplama imkânı sağlar. İlgili teknikler aynı fikri Kerberos’a uygular; özet yerine çalınmış biletleri tekrar oynatır.

Neden Önemli

Pass-the-hash, yirmi yılı aşkın süredir Windows ağ ihlallerinin belkemiğidir; çünkü ele geçirilen tek bir makineyi birçok kapıyı açan bir maymuncuğa dönüştürür. Parola gücü konu dışıdır: elli karakterlik bir parolanın özeti de zayıf bir parolanınki kadar kolay çalınır ve tekrar oynatılır. Parolayı değiştirmek ancak olaydan sonra işe yarar; yeni özet de aynı yolla çalınabilir.

Teknik, fidye yazılımının ağ içinde yayılma biçiminin merkezindedir. Tipik zincir şöyle ilerler: virüslü bir iş istasyonundan onun yerel yönetici özetine, oradan aynı yerel yönetici parolasını paylaşan her makineye ve bunlardan herhangi birine bir kez oturum açmış bir etki alanı yöneticisine. Yoğun NTLM kullanan, yerel parolaları paylaşan ve yöneticilerin her yerde oturum açtığı ortamlar, çevre savunmaları ne olursa olsun yapısal olarak savunmasızdır.

Pass-the-Hash’e Karşı Nasıl Savunulur

Savunma üç cephede yoğunlaşır. Birincisi, hasadı engellemek: sırları bellekte yalıtan kimlik bilgisi koruma özellikleri, her makinede benzersiz yerel yönetici parolaları ve hangi hesabın hangi sisteme oturum açabileceğine dair sıkı sınırlar, ele geçirilen bir ana bilgisayarın vereceği ganimeti azaltır. İkincisi, tekrar oynatma yüzeyini daraltmak: mümkün olan yerlerde NTLM’i kademeli olarak bırakıp modern korumalara sahip Kerberos’a geçmek ve yönetim trafiğini bölümlemek; böylece bir katmanda çalınan özet diğerinde işe yaramaz.

Üçüncüsü, değerli özetleri tümden erişilmez kılmak. Katmanlı yönetim, etki alanı yöneticisi kimlik bilgilerinin iş istasyonlarına hiç dokunmamasını sağlar; Monopam gibi bir PAM platformu ise ayrıcalıklı oturumları sıkılaştırılmış bir geçitten açar ve yönetici sırları uç noktalarda hiçbir zaman önbelleğe alınmaz. Tespit, olmaması gereken yerlerde beliren NTLM kimlik doğrulamalarına ve tek bir hesabın kısa aralıklarla çok sayıda sisteme doğrulama yapmasına odaklanır.

Sık sorulan sorular

Güçlü parola pass-the-hash’e karşı korur mu?
Hayır. Saldırı parolaya hiç dokunmaz; paroladan türetilen ancak olduğu gibi çalınıp kullanılan özeti tekrar oynatır. Parola gücü kırma saldırılarında önemlidir, tekrar oynatmada değil. Koruma; özet hırsızlığını önlemekten, NTLM’i sınırlamaktan ve ayrıcalıklı kimlik bilgilerini savunmasız makinelerden uzak tutmaktan gelir.
Pass-the-hash modern Windows’ta hâlâ geçerli mi?
Evet, NTLM’in etkin kaldığı her yerde geçerlidir ve çoğu kurum eski sistem uyumluluğu için onu hâlâ kullanır. Modern Windows, kimlik bilgileri için bellek koruması ve yerel hesapların uzaktan kullanımına kısıtlamalar gibi anlamlı önlemler ekler; ancak bunları devreye almamış veya yerel yönetici parolalarını paylaşan ortamlar bu yolla düzenli olarak istismar edilmeye devam ediyor.