Fachartikel

Pass-the-Hash-Angriffe vermeiden (2)

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Denn der ursprünglich sehr aufwändige Pass-the-Hash-Angriff ist heutzutage nur noch eine Sache weniger Klicks. Im zweiten Teil der Workshopserie veranschaulichen wir, warum Angreifer sich im Handumdrehen als Administrator ausgeben können und warum identische Kennworte tunlichst zu vermeiden sind.
Über eine seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke lassen sich Passworte abgreifen.
Triviale Wege, Administrator zu werden
Den bekannten, mittlerweile aber erschwerten Systemhack [1] per "utilman.exe" oder "sethc.exe" nutzten viele Administratoren, wenn jemand sein Adminkennwort vergessen hatte. Dabei erfolgt ein Offline-Zugriff auf das Dateisystem, wobei der Angreifer eine Datei austauscht und diese anschließend mit Systemrechten aufrufen wird. Beliebt ist der Austausch von "utilman.exe", dem Werkzeug für die "Erleichterte Bedienung" unter Windows. Dieses steht auf der Anmeldemaske vor der Anmeldung eines Benutzers zur Verfügung. Nun tauscht der Angreifer "utilman.exe" offline gegen "cmd.exe" und benennt Letztere in "utilman.exe" um. Klickt er nun nach einem Neustart auf die "Erleichterte Bedienung", öffnet sich eine Eingabeaufforderung. Da die "Erleichterte Bedienung" normalerweise den Kontrast anpasst oder die Auflösung ändert, benötigt sie Hardwarezugriff und deswegen startet sie im Systemkontext mit Vollzugriff.

Im harmlosen Fall eines vergessenen Kennworts setzt der Admin jetzt das Kennwort per net user <Benutzername> <NeuesKennwort> zurück und meldet sich an. Ein Pass-the-Hash-Angriff will aber auf keinen Fall Kennworte überschreiben, denn dann ist der für die Attacke benötigte Hash verändert. Vielmehr öffnet der Angreifer bei PtH "cmd.exe" und erzeugt mit net user <NeuerBenutzer> <Kennwort> /add einen neuen Benutzer. Dieser wird nun per net localgroup Administratoren <NeuerBenutzer> /add zum Administrator und der Angreifer meldet sich mit diesen Credentials an.

Der Aufwand beträgt alles in allem keine fünf Minuten. Nach dem Austausch der Datei lässt sich das System von einer alternativen Quelle booten. Ideal ist hier eine Windows-Installations-CD, denn diese bietet direkt eine Eingabeaufforderung zur Systemreparatur. Oder die Festplatte wird ausgebaut und in einen USB-Adapter gesteckt. Bei aktueller Hardware ist der Ausbau oft leichter als der Weg über die Bootauswahl.
Der "Online-Weg", im System Administrator zu werden, führt über den Helpdesk und schlecht programmierte Software. Der Anwender/Angreifer benötigt lediglich eine Anwendung, die in ihrem Programmordner Schreibrechte voraussetzt, und ein wenig Scripting. Er benennt die ursprüngliche EXE-Datei um und hinterlegt eine eigene mit dem gleichen Namen. In dieser führt er die erwähnten Schritte durch und ruft die umbenannte Executable auf. In seinem User-Kontext werden die Befehle ins Leere laufen, deswegen ruft er jetzt im Helpdesk an und sucht sich einen Administrator, der sich aufschaltet und das Programm mit seinen Rechten startet. Angriff erfolgreich.

Es macht dabei überhaupt keinen Unterschied, ob der Angriff über "utilman.exe", "sethc.exe" oder eine beliebige Drittanbieter-Executable, die in der Diensteliste auf "Automatisch" steht und im Systemkontext erfolgt. Der Trick, das System per "utilman.exe" zu hacken, ist kein Sicherheitsloch seitens Microsoft. Denn es ist egal, welches EXE-File ausgetauscht wird: Würde Microsoft "utilman.exe" schützen, greift ein Angreifer auf eine andere ausführbare Datei zu und das Spiel beginnt von vorn.

Der einzige effektive Schritt und damit der erste in unserem Schutzansatz ist die Verschlüsselung der Festplatte. Jeder physische Client ist zu verschlüsseln! Darüber sollten Sie nicht mehr diskutieren, denn Sie müssen den Offline-Zugriff verhindern. Gegen schlechte Software, die immer noch Schreibrechte unter "programfiles" oder "programfiles (x86)" erfordert, hilft nur gute Software. Drittanbieter und Anwendungshersteller, die das Benutzer- und Rechtemodell seit der Einführung von Windows 2000 ignorieren, haben es verdient, ausgetauscht zu werden. Oder Sie geben dem Hersteller die Möglichkeit, den Mangel zu beseitigen. Wichtig: Das ist kein Feature-Wunsch, den Sie als Kunde bezahlen, sondern vielmehr die Korrektur eines seit 25 Jahren bekannten Mangels.

Seite 2: Identische Kennworte verhindern


Seite 1 von 2 Nächste Seite >>
9.05.2022/jp/ln/Mark Heitbrink

Nachrichten

Gefährliches HTML-Phishing im Trend [16.05.2022]

Security-Experten von Kaspersky warnen vor der wachsenden Bedrohung durch Phishing-E-Mails mit HTML-Dateien. Von Januar bis April 2022 blockierte das Unternehmen demnach fast zwei Millionen Phishing-E-Mails mit solchen Anhängen. Die Verwendung von HTML-Dateien in Phishing-Nachrichten scheint bei Betrügern einer der neuesten und beliebtesten Tricks, um Sicherheitssysteme zu umgehen. [mehr]

Mehr Attacken treffen auf weniger Cyberexperten [16.05.2022]

Laut "Hiscox Cyber Readiness Report" sind Cyberangriffe größtes unternehmerisches Risiko und ein Viertel des IT-Budgets deutscher Unternehmen fließt mittlerweile in die IT-Sicherheit. Deutschland verzeichnet dabei die höchsten Gesamtschadenkosten. Die Zahl der Experten auf diesem Feld hierzulande sinkt jedoch um 17 Prozentpunkte auf nur noch drei Prozent. [mehr]

Tipps & Tools

Online-Intensivseminar "Office 365" – nur noch wenige Plätze verfügbar [16.05.2022]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und können Lizenzgebühren sparen. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensivseminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange, SharePoint Online und Teams. Sie sollten sich rasch einen der wenigen noch verfügbaren Plätze für die Mitte Juli stattfindende Online-Veranstaltung sichern. [mehr]

Ab sofort erhältlich: Sonderheft "Microsoft Azure" [2.05.2022]

Das erste IT-Administrator Sonderheft des Jahres 2022 mit dem Schwerpunkt "Microsoft Azure – Sichere Infrastrukturen für Anwendungen und Clients aufbauen" beleuchtet die Cloud-Computing-Plattform rundherum: vom optimalen Ausrollen der Clouddienste über ein gut eingestelltes Azure AD bis zur Bereitstellung von Windows 365 und Windows Virtual Desktop. Das Sonderheft ist ab sofort in unserem Shop erhältlich. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen