Pass-the-Hash-Angriffe vermeiden (2)

09.05.2022 - 00:00

Veröffentlicht in:

Fachartikel

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Denn der ursprünglich sehr aufwändige Pass-the-Hash-Angriff ist heutzutage nur noch eine Sache weniger Klicks. Im zweiten Teil der Workshopserie veranschaulichen wir, warum Angreifer sich im Handumdrehen als Administrator ausgeben können und warum identische Kennworte tunlichst zu vermeiden sind.

Triviale Wege, Administrator zu werden

Den bekannten, mittlerweile aber erschwerten Systemhack [1] per "utilman.exe" oder "sethc.exe" nutzten viele Administratoren, wenn jemand sein Adminkennwort vergessen hatte. Dabei erfolgt ein Offline-Zugriff auf das Dateisystem, wobei der Angreifer eine Datei austauscht und diese anschließend mit Systemrechten aufrufen wird. Beliebt ist der Austausch von "utilman.exe", dem Werkzeug für die "Erleichterte Bedienung" unter Windows. Dieses steht auf der Anmeldemaske vor der Anmeldung eines Benutzers zur Verfügung. Nun tauscht der Angreifer "utilman.exe" offline gegen "cmd.exe" und benennt Letztere in "utilman.exe" um. Klickt er nun nach einem Neustart auf die "Erleichterte Bedienung", öffnet sich eine Eingabeaufforderung. Da die "Erleichterte Bedienung" normalerweise den Kontrast anpasst oder die Auflösung ändert, benötigt sie Hardwarezugriff und deswegen startet sie im Systemkontext mit Vollzugriff.

Im harmlosen Fall eines vergessenen Kennworts setzt der Admin jetzt das Kennwort per net user <Benutzername> <NeuesKennwort> zurück und meldet sich an. Ein Pass-the-Hash-Angriff will aber auf keinen Fall Kennworte überschreiben, denn dann ist der für die Attacke benötigte Hash verändert. Vielmehr öffnet der Angreifer bei PtH "cmd.exe" und erzeugt mit net user <NeuerBenutzer> <Kennwort> /add einen neuen Benutzer. Dieser wird nun per net localgroup Administratoren <NeuerBenutzer> /add zum Administrator und der Angreifer meldet sich mit diesen Credentials an.

Der Aufwand beträgt alles in allem keine fünf Minuten. Nach dem Austausch der Datei lässt sich das System von einer alternativen Quelle booten. Ideal ist hier eine Windows-Installations-CD, denn diese bietet direkt eine Eingabeaufforderung zur Systemreparatur. Oder die Festplatte wird ausgebaut und in einen USB-Adapter gesteckt. Bei aktueller Hardware ist der Ausbau oft leichter als der Weg über die Bootauswahl.

Der "Online-Weg", im System Administrator zu werden, führt über den Helpdesk und schlecht programmierte Software. Der Anwender/Angreifer benötigt lediglich eine Anwendung, die in ihrem Programmordner Schreibrechte voraussetzt, und ein wenig Scripting. Er benennt die ursprüngliche EXE-Datei um und hinterlegt eine eigene mit dem gleichen Namen. In dieser führt er die erwähnten Schritte durch und ruft die umbenannte Executable auf. In seinem User-Kontext werden die Befehle ins Leere laufen, deswegen ruft er jetzt im Helpdesk an und sucht sich einen Administrator, der sich aufschaltet und das Programm mit seinen Rechten startet. Angriff erfolgreich.

Es macht dabei überhaupt keinen Unterschied, ob der Angriff über "utilman.exe", "sethc.exe" oder eine beliebige Drittanbieter-Executable, die in der Diensteliste auf "Automatisch" steht und im Systemkontext erfolgt. Der Trick, das System per "utilman.exe" zu hacken, ist kein Sicherheitsloch seitens Microsoft. Denn es ist egal, welches EXE-File ausgetauscht wird: Würde Microsoft "utilman.exe" schützen, greift ein Angreifer auf eine andere ausführbare Datei zu und das Spiel beginnt von vorn.

Der einzige effektive Schritt und damit der erste in unserem Schutzansatz ist die Verschlüsselung der Festplatte. Jeder physische Client ist zu verschlüsseln! Darüber sollten Sie nicht mehr diskutieren, denn Sie müssen den Offline-Zugriff verhindern. Gegen schlechte Software, die immer noch Schreibrechte unter "programfiles" oder "programfiles (x86)" erfordert, hilft nur gute Software. Drittanbieter und Anwendungshersteller, die das Benutzer- und Rechtemodell seit der Einführung von Windows 2000 ignorieren, haben es verdient, ausgetauscht zu werden. Oder Sie geben dem Hersteller die Möglichkeit, den Mangel zu beseitigen. Wichtig: Das ist kein Feature-Wunsch, den Sie als Kunde bezahlen, sondern vielmehr die Korrektur eines seit 25 Jahren bekannten Mangels.

Seite 1: Administrator im Handumdrehen

Seite 2: Identische Kennworte verhindern

Seite 1 von 2

Nächste Seite >>

jp/ln/Mark Heitbrink

[1] https://administrator.de/knowledge/der-gute-alte-utilman-hack-funktioniert-fortan-nur-noch-im-abgesicherten-modus-391076.html