von Redaktion IT-A…
Lesezeit
2 Minuten
Einbruchwerkzeuge für Windows 10
Elcomsofts 'System Recovery' knackt laut Anbieter nun auch Windows 10 und das Microsoft-Konto. Damit erhalten die Anwender der Tools nicht nur Zugriff auf das Windows-Konto, sondern auch auf die Microsoft-Dienste Skype, Hotmail und OneDrive. Die Software 'Forensic Disk Decryptor' hat es daneben auf verschlüsselte Laufwerke abgesehen. Die Verschlüsselung selbst soll dabei gar nicht gebrochen, sondern vielmehr temporäre Daten wie Speicherabbilder ausgelesen werden.
Elcomsoft System Recovery (ESR) ist eine Software, die auf die Passwörter von Windows-Konten abzielt. Möglich ist sowohl der Zugriff auf Windows-Konten ohne das Passwort zu kennen als auch der Zugriff auf den Hashwert des Passworts für Offline-Brute-Force-Attacken. ESR kann ebenfalls eingesetzt werden, um die seit Windows 10 forcierten Cloud-basierten "Microsoft-Konten", ehemals Windows Live ID, zu knacken. Mit einem Klartext Microsoft-Konto-Passwort stehen Ermittlern dann auch die Daten aller übrigen Microsoft-Dienste wie Hotmail, Skype und OneDrive offen.
Passwörter auslesen trotz Cloudanmeldung
Loggen sich Nutzer unter Windows 10 mit dem cloudbasierten Microsoft-Konto ein, erfolgt die Authentifizierung online. Dies führt laut Elcomsoft [1] aber mitnichten dazu, dass die Möglichkeiten des klassischen Passwort-Auslesens nun nicht mehr existieren. Um auch beim Microsoft-Konto an die Passwörter zu gelangen startet der ESR ein als Bootimage beigefügtes WinPE (Windows Preinstallation Environment). Dieses muss sich dann wie eine Windows 10 Installation ebenfalls online authentifizieren um Zugriff auf ein Windows 10-Konto zu erhalten, jedoch macht es sich zu Nutze, dass auch Windows 10 für Verbindungsabbrüche die Passwort-Hashes lokal gespeichert hat.
Die WinPE-Umgebung kann nun das lokal gecachte Passwort einfach zurücksetzen und das Benutzerkonto auf offline umstellen, sodass Ermittler auch ohne bekanntes Passwort auf lokale Windowskonten zugreifen können. Ferner besteht die Möglichkeit, die Ablaufdaten von Passwörtern zu deaktivieren, administrative Rechte neu zu setzen, und Daten wie etwa Hashes aus System- und SAM-Dateien oder dem Active Directory auszulesen.
Das Auslesen des Passwort-Hashwertes des Microsoft-Kontos ist von besonderem Interesse, denn so können statt der reinen Online-Authentifizierung unbeschränkte Offline-Brute-Force-Attacken gegen das Microsoft-Konto-Passwort gefahren werden. Mit dem Passwort im Klartext steht dann noch weit mehr offen, als nur das Windows-Konto. Ähnlich wie Ermittler mit Zugriff auf ein einziges Google-Konto die Daten verschiedener Google-Dienste wie YouTube, GoogleMail und Google+ einsehen können, kann mit dem Zugriff auf ein Microsoft-Konto auch auf Microsoft-Dienste wie Skype, Hotmail oder OneDrive zugegriffen werden.
Das Microsoft-Konto-Passwort im Klartext ist dann auch die Eintrittskarte um an alle Daten zu gelangen, die in den Microsoft Cloud-Services gespeichert wurden. Selbst Zugriff auf Windows Phone, Windows 10 Mobile Backup, synchronisierte Browser-Verläufe, Lesezeichen und Autofill-Informationen, unter denen sich auch weitere Passwörter befinden können, sind abrufbar.
Laufwerkverschlüsselung ausgehebelt
Elcomsoft Forensic Disk Decryptor (EFDD) zielt auf verschlüsselte Laufwerke ab. Während ESR bereits ausreicht um EFS-verschlüsselte Windows-Volumes zu durchsuchen, können mit dem EFDD in der neuesten Version auch Informationen aus Volumes ausgelesen werden, die mit BitLocker, PGP oder TrueCrypt verschlüsselt wurden. Unterstützt wird BitLocker unter Windows 8, 8.1 und 10. Die Verschlüsselung wird dabei im eigentlichen Sinn nicht geknackt, sondern mit Hilfe temporärer Dateien auf dem betroffenen PC umgangen. Speicherabbilder wie sie beispielsweise für den Ruhemodus erstellt werden, sind dabei die bevorzugte Fundquelle für die Security-Token, die der EFDD nutzt, um auf das verschlüsselte Volume zu entschlüsseln.
Wichtig ist dabei nur, dass das System zum Zeitpunkt des Speicherabbilds auf das verschlüsselte Laufwerk Zugriff hatte. War das der Fall, kann der EFDD automatisch die benötigen Token auslesen und einsetzen. Der EFDD unterstützt auch die neueste Version BitLocker 1511, die auf XTS-AES setzt und erst mit Windows 10 eingeführt wurde. Sie kann optional aktiviert werden, da sie nicht abwärtskompatibel zu früheren Windows-Versionen ist.
Sowohl Elcomsoft System Recovery (ESR) als auch Elcomsoft Forensic Disk Decrypter (EFDD) sind verfügbar für Windows XP und neuer, sowie für die entsprechenden Windows Server Versionen. Beide Produkte kosten je 299 Euro.
dr
[1] www.elcomsoft.de
Passwörter auslesen trotz Cloudanmeldung
Loggen sich Nutzer unter Windows 10 mit dem cloudbasierten Microsoft-Konto ein, erfolgt die Authentifizierung online. Dies führt laut Elcomsoft [1] aber mitnichten dazu, dass die Möglichkeiten des klassischen Passwort-Auslesens nun nicht mehr existieren. Um auch beim Microsoft-Konto an die Passwörter zu gelangen startet der ESR ein als Bootimage beigefügtes WinPE (Windows Preinstallation Environment). Dieses muss sich dann wie eine Windows 10 Installation ebenfalls online authentifizieren um Zugriff auf ein Windows 10-Konto zu erhalten, jedoch macht es sich zu Nutze, dass auch Windows 10 für Verbindungsabbrüche die Passwort-Hashes lokal gespeichert hat.
Die WinPE-Umgebung kann nun das lokal gecachte Passwort einfach zurücksetzen und das Benutzerkonto auf offline umstellen, sodass Ermittler auch ohne bekanntes Passwort auf lokale Windowskonten zugreifen können. Ferner besteht die Möglichkeit, die Ablaufdaten von Passwörtern zu deaktivieren, administrative Rechte neu zu setzen, und Daten wie etwa Hashes aus System- und SAM-Dateien oder dem Active Directory auszulesen.
Das Auslesen des Passwort-Hashwertes des Microsoft-Kontos ist von besonderem Interesse, denn so können statt der reinen Online-Authentifizierung unbeschränkte Offline-Brute-Force-Attacken gegen das Microsoft-Konto-Passwort gefahren werden. Mit dem Passwort im Klartext steht dann noch weit mehr offen, als nur das Windows-Konto. Ähnlich wie Ermittler mit Zugriff auf ein einziges Google-Konto die Daten verschiedener Google-Dienste wie YouTube, GoogleMail und Google+ einsehen können, kann mit dem Zugriff auf ein Microsoft-Konto auch auf Microsoft-Dienste wie Skype, Hotmail oder OneDrive zugegriffen werden.
Das Microsoft-Konto-Passwort im Klartext ist dann auch die Eintrittskarte um an alle Daten zu gelangen, die in den Microsoft Cloud-Services gespeichert wurden. Selbst Zugriff auf Windows Phone, Windows 10 Mobile Backup, synchronisierte Browser-Verläufe, Lesezeichen und Autofill-Informationen, unter denen sich auch weitere Passwörter befinden können, sind abrufbar.
Laufwerkverschlüsselung ausgehebelt
Elcomsoft Forensic Disk Decryptor (EFDD) zielt auf verschlüsselte Laufwerke ab. Während ESR bereits ausreicht um EFS-verschlüsselte Windows-Volumes zu durchsuchen, können mit dem EFDD in der neuesten Version auch Informationen aus Volumes ausgelesen werden, die mit BitLocker, PGP oder TrueCrypt verschlüsselt wurden. Unterstützt wird BitLocker unter Windows 8, 8.1 und 10. Die Verschlüsselung wird dabei im eigentlichen Sinn nicht geknackt, sondern mit Hilfe temporärer Dateien auf dem betroffenen PC umgangen. Speicherabbilder wie sie beispielsweise für den Ruhemodus erstellt werden, sind dabei die bevorzugte Fundquelle für die Security-Token, die der EFDD nutzt, um auf das verschlüsselte Volume zu entschlüsseln.
Wichtig ist dabei nur, dass das System zum Zeitpunkt des Speicherabbilds auf das verschlüsselte Laufwerk Zugriff hatte. War das der Fall, kann der EFDD automatisch die benötigen Token auslesen und einsetzen. Der EFDD unterstützt auch die neueste Version BitLocker 1511, die auf XTS-AES setzt und erst mit Windows 10 eingeführt wurde. Sie kann optional aktiviert werden, da sie nicht abwärtskompatibel zu früheren Windows-Versionen ist.
Sowohl Elcomsoft System Recovery (ESR) als auch Elcomsoft Forensic Disk Decrypter (EFDD) sind verfügbar für Windows XP und neuer, sowie für die entsprechenden Windows Server Versionen. Beide Produkte kosten je 299 Euro.
dr
[1] www.elcomsoft.de
