Протокол NTLM используется в Windows-среде для аутентификации пользователей, устройств и сервисов в доменной и недоменной инфраструктуре. 6 Основные принципы работы:

1. Клиент направляет серверу запрос с именем пользователя, чтобы получить доступ к ресурсу. 2
2. Сервер передаёт клиенту случайное число (запрос сервера). 2
3. Клиент шифрует запрос сервера по алгоритму DES, используя в качестве ключа NT-хэш пароля. 2
4. Зашифрованный хэшем пароля запрос сервера называется ответом NTLM и передаётся обратно серверу. 2
5. Сервер извлекает из хранилища SAM хэш пароля того пользователя, чьё имя было ему передано, и выполняет аналогичные действия с запросом сервера. 2
6. Сервер сравнивает полученный результат с ответом NTLM. 2 Если результаты совпадают, значит пользователь клиента действительно тот, за кого себя выдаёт, и аутентификация считается успешной. 2

Атака Pass-the-hash позволяет атакующему авторизоваться на удалённом сервере, аутентификация на котором осуществляется с использованием протокола NTLM или LM. 3 В основе атаки лежит слабость в реализации протокола сетевой аутентификации: хеши паролей передаются без использования соли, а потому остаются неизменными от сессии к сессии (до тех пор, пока не изменяется пароль пользователя). 3

Процесс атаки: атакующий получает пару «имя пользователя — хеш пароля пользователя» и использует её для аутентификации на удалённом сервере под видом пользователя. 3 Для этого он может получить хэш NTLM либо по сети, либо с помощью скомпрометированной машины. 8

Для защиты от атаки Pass-the-hash применяется метод комплексной защиты: использование межсетевого экрана, системы предотвращения вторжений, IPsec, антивирусных программ, полное шифрование диска, аутентификация с использованием стандарта IEEE 802.1X и другие меры. 3