Zurück zu den Grundregeln der Sicherheit

Wenn in Organisationen oder Firmen ein Domänen-Controller verwendet wird, dem externe IP-Adressen zugewiesen wurden, ist dies ein Alarmsignal. Diese Konfiguration ist häufig ein Zeichen dafür, dass die Organisation kein allgemeines Bewusstsein für anerkannte Sicherheitspraktiken besitzt, wobei meist weitere, schwerer wiegende Sicherheitsmängel vorliegen.

Bei beiden Organisationen bestand der erste Schritt darin, die Mailserver mit Nmap und SuperScan zu scannen. Die hohe Anzahl geöffneter Ports, einschließlich des TCP-Ports 139, war äußerst Besorgnis erregend.

Über Port 139 kann man aufgrund des NETBIOS-Standard eine beträchtliche Menge an Informationen erlangen, und zwar selbst dann, wenn der Domänen-Controller den Anwender nicht authentifiziert. (Diese Sicherheitslücke ist umfassend dokumentiert und wird im bekannten Buch Hacking Exposed gut erläutert).

Diese Schwachstelle kann mithilfe des Tools NBTEnum (Net Bios Enumeration), das sowohl von Sicherheitsprofis als auch von Hackern eingesetzt wird, leicht ausgenutzt werden. Das überarbeitete Beispiel für den Output, den wir bei einer der Organisationen erhielten, zeigt die enorme Menge an Systemdaten, die man erlangen kann, darunter Informationen über lokale Gruppen/Anwender, globale Gruppen/Anwender, Freigaben und Passwortrichtlinien (einschließlich der Sperrung von Passwort-Attacken).

Hat ein User mit bösen Absichten erst einmal Zugriff auf diese Informationen, wird es für ihn bedeutend leichter, unerlaubten Zugriff auf das Netzwerk zu erlangen.

Das Passwort lautet „Passwort“
Die Wohltätigkeitsorganisation ermöglichte all ihren ehrenamtlichen Mitarbeitern den Zugriff auf ihr Netz über zwei Benutzerkonten, die sich passenderweise „Ehrenamt1“ und „Ehrenamt2“ nannten. Mit Hinblick auf die allgemein laxe Handhabung der Sicherheit in dieser Organisation gingen wir davon aus, dass diese Konten von einfachen, leicht zu merkenden Passwörtern geschützt sein würden.

Wir versuchten einen entfernten Zugriff auf das Netzwerk mit Hilfe des folgenden Run-Befehls für Windows: \xxx.xx.xx.xxxsharedfoldername. Daraufhin wurden wir nach einem Anwendernamen und einem Passwort gefragt. Unsere ersten drei Versuche mit „Passwort“, „Organisationskürzel1“ und „Organisationskürzel2“ schlugen fehl. Beim vierten Versuch verwendeten wir „Organisationskürzel3“ und erhielten Zugang. Ab diesem Zeitpunkt konnten wir alle freigegebenen Netzwerkordner durchsuchen. Noch schlimmer war, dass die Organisation eine unzureichende Zugangskontrolle einsetzte, so dass man über die Benutzerkonten der ehrenamtlichen Mitarbeiter den gesamten Inhalt des Domänen-Controllers einsehen konnte (das Laufwerk C: war nicht ordnungsgemäß freigegeben).

Mit Hilfe unseres neu gefundenen Zugangs zum Domänen-Controller kopierten wir die Registry auf unseren Computer und verwendeten LC3, besser bekannt als L0phtCrack, ein Tool zum Knacken von Passwörtern, um die Passwörter der Anwender herauszufinden. Mit einer so genannten Wörterbuchattacke – bei der wir jedes verschlüsselte Passwort mit einer Liste häufig verwendeter Passwörter abglichen – fanden wir 23 der 61 Passwörter für die Benutzerkonten heraus.

Ironischerweise war eines der ersten geknackten Passwörter der Name eines IT-Anbieters, den der Netzwerkadministrator verwendete. Mit diesem erlangten wir die vollständige administrative Kontrolle über den Domänen-Controller.

Aufgrund einer Reihe von nachlässigen Sicherheitsmaßnahmen (Zulassung von nicht vertrauenswürdigem Datenverkehr in das interne Netz und auf den Domänen-Controller, aktivierte Null-Sessions, unzureichende Passwortrichtlinien und Zugangskontrollen) brauchten wir weniger als eine Stunde, um die Kontrolle über das Netzwerk des Kunden zu erlangen.