Vai al contenuto

Prossima edizione 6 luglio 2026

Sicurezza offensiva

Credential Dumping

Il credential dumping è l'azione di estrarre materiale di accesso, come hash di password o password in chiaro, da un sistema compromesso (per esempio dalla memoria di LSASS o dal database SAM) in modo che un attaccante possa autenticarsi come un utente legittimo.

Autore
Unihackers Team
Tempo di lettura
3 min di lettura
Ultimo aggiornamento

Il credential dumping è una delle mosse più preziose nel manuale di un attaccante, perché trasforma una singola macchina compromessa in una chiave universale. Invece di sfondare altre difese, l'attaccante ruba semplicemente le chiavi che gli utenti legittimi già possiedono e poi entra dalla porta principale come un account fidato. Per questo l'accesso alle credenziali è al centro di quasi ogni intrusione seria, perché colma il divario tra un primo punto d'appoggio e il controllo completo di un ambiente.

Da dove vengono rubate le credenziali

Su un sistema compromesso, il materiale di accesso risiede in diversi luoghi prevedibili, e ognuno è un bersaglio:

  • Memoria di LSASS: il processo di Windows che memorizza nella cache le credenziali degli utenti connessi, inclusi gli hash e talvolta il testo in chiaro.
  • Database SAM: l'archivio locale degli hash delle password degli account su un host Windows.
  • Accessi di dominio in cache e gestori di credenziali: segreti conservati perché gli utenti non debbano ridigitarli.
  • File di configurazione e script: password e token incorporati lasciati dagli amministratori.

Una volta estratti, l'attaccante può craccare gli hash offline oppure, in modo più efficiente, riutilizzarli direttamente tramite tecniche come il pass-the-hash. MITRE cataloga questo comportamento come OS Credential Dumping (T1003), una delle tecniche più usate all'interno della tattica Credential Access.

Come si inserisce nella catena d'attacco

Il credential dumping raramente avviene in modo isolato. Di solito segue l'accesso iniziale e l'escalation dei privilegi, perché leggere LSASS o il database SAM richiede normalmente privilegi di amministratore o SYSTEM. Con le credenziali raccolte, l'attaccante esegue poi il movimento laterale, saltando da host a host come utente legittimo finché non raggiunge i controller di dominio o i dati sensibili.

Poiché la tecnica è così comune, è mappata in dettaglio all'interno del framework MITRE ATT&CK, che i team di sicurezza usano per pianificare i rilevamenti e misurare la propria copertura.

Come rilevarlo e prevenirlo

In difesa, l'obiettivo è rendere un dump sia difficile da eseguire sia inutile una volta rubato:

  • Limita e monitora l'accesso a LSASS, al database SAM e agli archivi di credenziali.
  • Applica il privilegio minimo affinché pochi account possano leggere le credenziali.
  • Distribuisci un rilevamento sugli endpoint che segnali strumenti di dumping noti e letture della memoria.
  • Richiedi l'autenticazione multifattore così che un hash rubato da solo non conceda l'accesso.

Un security operations center maturo tratta ogni segnale di accesso alle credenziali come una pista ad alta priorità, perché intercettare un dump in tempo può fermare un'intrusione prima che si diffonda. Nel credential dumping, tutto il vantaggio dell'attaccante è l'invisibilità, quindi vince il difensore che osserva più da vicino gli archivi di credenziali.

Nel Bootcamp

Come insegniamo Credential Dumping

Nel nostro Cybersecurity Bootcamp, non imparerai solo la teoria su Credential Dumping. Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.

Trattato in:

Modulo 10: Penetration Testing e Hacking Etico

Argomenti correlati che padroneggerai:MetasploitNmapBurp SuiteEscalation dei Privilegi
Scopri come lo insegniamo

360+ ore di formazione esperta • CompTIA Security+ incluso