Fachartikel

Pass-the-Hash-Angriffe vermeiden (1)

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Denn der ursprünglich sehr aufwändige Pass-the-Hash-Angriff ist heutzutage nur noch eine Sache weniger Klicks. Im ersten Teil der Workshopserie beschäftigen wir uns mit dem grundlegenden Ablauf der Attacke und erklären, warum Admin-Accounts oft nur die erste Anlaufstelle sind.
Über eine seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke lassen sich Passworte abgreifen.
Pass-the-Hash (PtH) ist nunmehr seit fast 30 Jahren als Angriffsvektor bekannt, doch ist die uralte Problematik praktisch über Nacht kritisch geworden, denn der Angriff war technisch gesehen vor 30 Jahren echte Raketenwissenschaft. Der Angriffshebel existierte zwar, dessen Einsatz war aber fern jeder Realität, da er vor allem im Vergleich zu anderen Angriffsmethoden zu schwierig umzusetzen war. Heute gibt es Werkzeuge wie mimikatz, pwdump und andere, die vor 25 Jahren nicht existierten. Ein PtH-Angriff ist immer noch eine High-End-Technik, aber jetzt erlauben Werkzeuge, dass jedermann einen solchen Angriff mit wenigen Klicks durchführen kann. Das Level des benötigten Wissens ist mit diesen Tools extrem niedrig.

Verraten wir gleich den besten Schutz vor Pass-the-Hash: die interne Organisation. Es gibt keine "Klick-Aus"-Lösung – abgesehen von Credential Guard (CG). Diesen gibt es ab Windows 10, allerdings nur in der Enterprise-Variante, und er erfordert die passende Hardware wie UEFI, TPM et cetera. Viele Administratoren ziehen prinzipiell eine simple Software jeglichem organisatorischen Ansatz vor, andernfalls würde es ja bedeuten, dass sie alte Gewohnheiten ändern müssten – der viel schwierigere Lösungsweg. Gegen Pass-the-Hash gibt es ein paar technische Hebel, die Sie in Bewegung setzen können und die kleine oder auch größere Hürden für den Angreifer generieren, aber am Ende ist alles eine Frage der Organisation.
Der Pass-the-Hash-Mechanismus
Warum Pass-the-Hash als enorm effektiver Angriff funktioniert, zeigt sich, wenn wir das Vorgehen skizzieren und einige technische Grundlagen klären. Windows speichert Benutzeranmeldekennworte als Hash, also als Prüfsumme und nicht im Klartext. Eine Ausnahme bildet hier der Fall, wenn der Administrator die Checkbox "Kennwort speichern" bei einer RDPVerbindung über "mstsc.exe" aktiviert oder die Kennwortspeicherung für Out-look/Office365-Konten und Webkonten über die Anmeldeinformationsverwaltung (Anmeldetresor) nutzt. Das ist eine andere Technik und ein anderes Problem, über das wir später noch reden.

Doch zurück zum Standard: Nach Eingabe des Kennworts über ein Frontend, die Windows-Anmeldmaske oder auch interaktiv über den Explorer, wird beim Zugriff auf eine Ressource die Eingabe beziehungsweise deren Prüfsumme vom Ziel bestätigt und der Zugriff gewährt oder nicht. Das Ziel prüft und bestätigt also. Der Punkt, der uns jetzt unter anderem als Angriffsvektor dient, ist, wie die Quelle mit der Bestätigung des Ziels umgeht.

Microsoft ist als Single-Sign-on-System ausgelegt, die Eingabe eines Kennworts erfolgt also nur einmalig für die Laufzeit der Sitzung. Die einmalig als richtig bestätigte Information wird gespeichert und anschließend nicht mehr über eine Aktion des Anwenders hinterfragt und erneut angefordert. Die Quelle merkt sich, mit welcher gültigen Prüfsumme auf ein Ziel zugegriffen wurde. Bei jeder weiteren Interaktion mit dem Ziel fragt diese nach den Authentifizierungsdaten und sowohl Ziel als auch Quelle einigen sich darauf, dass die Kenntnis des Hashs völlig ausreicht. Die Übergabe erfolgt automatisch. Die Logik dahinter ist, dass ein Anwender das Kennwort zuvor eingegeben hat, dieses als Hash berechnet und vom Ziel bestätigt wurde. Es ist also keine erneute Eingabe notwendig, denn der Anwender kennt in dieser Logik offensichtlich das Kennwort, sonst gäbe es auch keinen gültigen Hash. Wenn beide das Geheimnis, sprich Endergebnis, kennen, ist es gültig und sicher.

Wir halten fest, dass das Ziel den Hash nur bestätigen muss und danach jegliche Information auf der Quelle liegt. Alle Verbindungsinformationen liegen in deren Speicher. Hier kommt Pass-theHash ins Spiel, indem es nicht das Ziel angreift, sondern die Quelle. Es wird keine Kennwortattacke gefahren, in der Kennworte probiert werden, sondern es wird einfach direkt die Verbindungsinformation inklusive Hash ausgelesen, bei der der Angreifer schon weiß, dass diese Informationen funktionieren und gültig sind.



Seite 1 von 2 Nächste Seite >>
2.05.2022/jp/ln/Mark Heitbrink

Nachrichten

Gefährliches HTML-Phishing im Trend [16.05.2022]

Security-Experten von Kaspersky warnen vor der wachsenden Bedrohung durch Phishing-E-Mails mit HTML-Dateien. Von Januar bis April 2022 blockierte das Unternehmen demnach fast zwei Millionen Phishing-E-Mails mit solchen Anhängen. Die Verwendung von HTML-Dateien in Phishing-Nachrichten scheint bei Betrügern einer der neuesten und beliebtesten Tricks, um Sicherheitssysteme zu umgehen. [mehr]

Mehr Attacken treffen auf weniger Cyberexperten [16.05.2022]

Laut "Hiscox Cyber Readiness Report" sind Cyberangriffe größtes unternehmerisches Risiko und ein Viertel des IT-Budgets deutscher Unternehmen fließt mittlerweile in die IT-Sicherheit. Deutschland verzeichnet dabei die höchsten Gesamtschadenkosten. Die Zahl der Experten auf diesem Feld hierzulande sinkt jedoch um 17 Prozentpunkte auf nur noch drei Prozent. [mehr]

Tipps & Tools

Online-Intensivseminar "Office 365" – nur noch wenige Plätze verfügbar [16.05.2022]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und können Lizenzgebühren sparen. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensivseminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange, SharePoint Online und Teams. Sie sollten sich rasch einen der wenigen noch verfügbaren Plätze für die Mitte Juli stattfindende Online-Veranstaltung sichern. [mehr]

Ab sofort erhältlich: Sonderheft "Microsoft Azure" [2.05.2022]

Das erste IT-Administrator Sonderheft des Jahres 2022 mit dem Schwerpunkt "Microsoft Azure – Sichere Infrastrukturen für Anwendungen und Clients aufbauen" beleuchtet die Cloud-Computing-Plattform rundherum: vom optimalen Ausrollen der Clouddienste über ein gut eingestelltes Azure AD bis zur Bereitstellung von Windows 365 und Windows Virtual Desktop. Das Sonderheft ist ab sofort in unserem Shop erhältlich. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen