Saltar al contenido principal

Pass-the-PRT (Primary Refresh Token)

El PRT en Windows es como un TGT pero para Entra ID.

Categoría: Cloud (AWS · Azure · GCP) 🎯 Trinchera — El PRT en Windows es como un TGT pero para Entra ID. Se almacena en LSASS cifrado con session key device. Robar PRT + session key permite emitir tokens nuevos sin re-autenticar — incluso evade MFA (la PRT ya pasó MFA en el join del device). 🔗 Kill chain — Mimikatz sekurlsa::cloudap → PRT cifrado → descifrar con session key → roadtx browserprtauth → tokens. Movimiento Entra → on-prem AD vía AD Connect. 📡 Huella defensiva — Sign-in logs con prtVerified=true desde IPs no esperadas; detección por device anomaly. ⚠️ Falso amigo — Necesitas SYSTEM o admin local para acceder al PRT cifrado. 🛡️ Remediación — Credential Guard, LSA Protection, Conditional Access con device compliance, Phish-resistant MFA (passkeys/FIDO2) que no genera PRT abusable.
Volver al glosario completo Última actualización: 2026-06-11