Eu discordaria de algumas das declarações e implicações feitas naquele artigo - a maioria das quais "não há defesa". É um caso de perder a floresta pelas árvores.
Eu diria que, se um invasor tiver:
- acesso direto à memória em um sistema que armazena seu hash e
- uma plataforma com a qual reproduzir um hash para criar uma nova sessão maliciosa,
então o vetor em que ele trabalhou realmente não importa - já acabou, e um invasor pode facilmente, digamos, colocar um keylogger no lugar e obter a senha completa e pré-hash.
Eu também discordo da afirmação de que isso deve ser mitigado com apenas um "superadministrador" (domínio / administrador corporativo) - isso seria muito baixo número do barramento .
Mais geralmente, muito do que ele está falando realmente é específico da Microsoft; existem vetores de ataque de autenticação contra outros sistemas operacionais quando você tem acesso direto à memória (chaves privadas SSH armazenadas em agentes seriam o equivalente para acesso remoto ao Linux, e não vamos esquecer o ataque de RAM congelado contra criptografia de disco completo - sem ar comprimido necessário com acesso direto à memória), mas o levantamento de hash do NTLM que ele aborda especificamente para a maior parte do artigo é apenas uma coisa da Microsoft.O importante recurso para atenuar: não concede ao invasor acesso direto à memória ou privilégios de root.
Mas você já sabia disso.