Fachartikel

Pass-the-Hash-Angriffe vermeiden (2)

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Denn der ursprünglich sehr aufwändige Pass-the-Hash-Angriff ist heutzutage nur noch eine Sache weniger Klicks. Im zweiten Teil der Workshopserie veranschaulichen wir, warum Angreifer sich im Handumdrehen als Administrator ausgeben können und warum identische Kennworte tunlichst zu vermeiden sind.
Über eine seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke lassen sich Passworte abgreifen.
Triviale Wege, Administrator zu werden
Den bekannten, mittlerweile aber erschwerten Systemhack [1] per "utilman.exe" oder "sethc.exe" nutzten viele Administratoren, wenn jemand sein Adminkennwort vergessen hatte. Dabei erfolgt ein Offline-Zugriff auf das Dateisystem, wobei der Angreifer eine Datei austauscht und diese anschließend mit Systemrechten aufrufen wird. Beliebt ist der Austausch von "utilman.exe", dem Werkzeug für die "Erleichterte Bedienung" unter Windows. Dieses steht auf der Anmeldemaske vor der Anmeldung eines Benutzers zur Verfügung. Nun tauscht der Angreifer "utilman.exe" offline gegen "cmd.exe" und benennt Letztere in "utilman.exe" um. Klickt er nun nach einem Neustart auf die "Erleichterte Bedienung", öffnet sich eine Eingabeaufforderung. Da die "Erleichterte Bedienung" normalerweise den Kontrast anpasst oder die Auflösung ändert, benötigt sie Hardwarezugriff und deswegen startet sie im Systemkontext mit Vollzugriff.

Im harmlosen Fall eines vergessenen Kennworts setzt der Admin jetzt das Kennwort per net user <Benutzername> <NeuesKennwort> zurück und meldet sich an. Ein Pass-the-Hash-Angriff will aber auf keinen Fall Kennworte überschreiben, denn dann ist der für die Attacke benötigte Hash verändert. Vielmehr öffnet der Angreifer bei PtH "cmd.exe" und erzeugt mit net user <NeuerBenutzer> <Kennwort> /add einen neuen Benutzer. Dieser wird nun per net localgroup Administratoren <NeuerBenutzer> /add zum Administrator und der Angreifer meldet sich mit diesen Credentials an.

Der Aufwand beträgt alles in allem keine fünf Minuten. Nach dem Austausch der Datei lässt sich das System von einer alternativen Quelle booten. Ideal ist hier eine Windows-Installations-CD, denn diese bietet direkt eine Eingabeaufforderung zur Systemreparatur. Oder die Festplatte wird ausgebaut und in einen USB-Adapter gesteckt. Bei aktueller Hardware ist der Ausbau oft leichter als der Weg über die Bootauswahl.
Der "Online-Weg", im System Administrator zu werden, führt über den Helpdesk und schlecht programmierte Software. Der Anwender/Angreifer benötigt lediglich eine Anwendung, die in ihrem Programmordner Schreibrechte voraussetzt, und ein wenig Scripting. Er benennt die ursprüngliche EXE-Datei um und hinterlegt eine eigene mit dem gleichen Namen. In dieser führt er die erwähnten Schritte durch und ruft die umbenannte Executable auf. In seinem User-Kontext werden die Befehle ins Leere laufen, deswegen ruft er jetzt im Helpdesk an und sucht sich einen Administrator, der sich aufschaltet und das Programm mit seinen Rechten startet. Angriff erfolgreich.

Es macht dabei überhaupt keinen Unterschied, ob der Angriff über "utilman.exe", "sethc.exe" oder eine beliebige Drittanbieter-Executable, die in der Diensteliste auf "Automatisch" steht und im Systemkontext erfolgt. Der Trick, das System per "utilman.exe" zu hacken, ist kein Sicherheitsloch seitens Microsoft. Denn es ist egal, welches EXE-File ausgetauscht wird: Würde Microsoft "utilman.exe" schützen, greift ein Angreifer auf eine andere ausführbare Datei zu und das Spiel beginnt von vorn.

Der einzige effektive Schritt und damit der erste in unserem Schutzansatz ist die Verschlüsselung der Festplatte. Jeder physische Client ist zu verschlüsseln! Darüber sollten Sie nicht mehr diskutieren, denn Sie müssen den Offline-Zugriff verhindern. Gegen schlechte Software, die immer noch Schreibrechte unter "programfiles" oder "programfiles (x86)" erfordert, hilft nur gute Software. Drittanbieter und Anwendungshersteller, die das Benutzer- und Rechtemodell seit der Einführung von Windows 2000 ignorieren, haben es verdient, ausgetauscht zu werden. Oder Sie geben dem Hersteller die Möglichkeit, den Mangel zu beseitigen. Wichtig: Das ist kein Feature-Wunsch, den Sie als Kunde bezahlen, sondern vielmehr die Korrektur eines seit 25 Jahren bekannten Mangels.

Seite 2: Identische Kennworte verhindern


Seite 1 von 2 Nächste Seite >>
9.05.2022/jp/ln/Mark Heitbrink

Nachrichten

Im Chat mit Security-Experten [4.08.2022]

Kaspersky möchte den Zugang zu den Experten seines Security Operation Centers für seine Kunden des Managed-Detection-and-Response-Optimum-Service erleichtern. Mittelständische Unternehmen können sich damit nun direkt an die SOC-Analysten von Kaspersky wenden und über einen speziellen Chat rund um die Uhr Fragen stellen. [mehr]

Wissen schützt [2.08.2022]

Häufigere Awareness-Trainings verbessern das Verständnis von Sicherheitsanweisungen. Zu diesem Schluss kommt KnowBe4 in einem neuen Report. In 84 Prozent der Fälle haben die Security-Awareness-Trainings das Verständnis der Mitarbeiter für die Sicherheitsanweisungen verbessert. [mehr]

Tipps & Tools

Intensivseminar "Office 365 bereitstellen und absichern" in München oder online [8.08.2022]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und können Lizenzgebühren sparen. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensivseminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange, SharePoint Online und Teams. Die Veranstaltung findet Ende September in München statt – parallel dazu können Sie auch online teilnehmen. [mehr]

Studie: Unternehmen geben zu viel für Cloudservices aus [5.07.2022]

Couchbase hat die Kosten, die Unternehmen jährlich für ihre Cloudnutzung bezahlen, näher untersucht. Unter anderem aufgrund unflexibler Preisgestaltung und unzureichender Managementtools ermittelte die Studie unnötige Mehrkosten um etwa 35 Prozent. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen