Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver

Auch Windows verwendet normalerweise eine Passwortdatenbank, die nur aus Hashwerten besteht. Allerdings hat Microsoft in seiner Implementierung eine Besonderheit eingebaut, die für Angriffe ausgenutzt werden kann: Die Umwandlung des Passwortes in den Hashwert geschieht auf dem Client und nicht auf dem Server.

Wenn man den Hashwert aus der Passwortdatenbank kennt, kann man diesen an einen Server schicken, um vorzutäuschen, ein anderer Benutzer zu sein. Diese Vorgehensweise bezeichnet man als Pass-the-Hash-Angriff.

In vielen anderen Situationen tritt das Problem nicht auf. Bei einer HTTPS-Sitzung wird beispielsweise das Klartextpasswort auf dem Übertragungsweg verschlüsselt und erst auf dem Server in den Hashwert umgewandelt. Ein Angreifer, der den Hashwert aus der Passwortdatenbank gestohlen hat, kann damit in einem Angriff von außen nichts anfangen.

Unter Windows gilt hingegen der Grundsatz: Der Hashwert des Passworts ist genauso gut zum Einloggen geeignet wie das Passwort selbst. Ein Angreifer muss dazu nur in der Lage sein, die richtigen Tools aus dem Internet herunterzuladen, was recht einfach ist. Schwieriger ist es die Passworthashes zu stehlen. Doch auch dazu bietet Windows Ansätze.

Bashar Ewaidar und Kristof Boeynaems haben im Januar 2010 für das SANS Institute eine Bestandsaufnahme (PDF) gemacht. Das Ergebnis ist ernüchternd: Zwar funktionieren viele Tools für die Durchführung von Pass-the-Hash-Angriffen und den Diebstahl von Passwortdatenbanken nicht mehr unter Windows Versionen ab Vista, jedoch ist das grundsätzliche Problem nicht behoben.

Darüber hinaus erzielt man mit gut gepflegten Penetrationstest-Suiten, beispielsweise dem Metasploit-Framework, nach wie vor sehr gute Ergebnisse gegen alle aktuellen Windows-Versionen wie Windows Server 2008 R2. Viele Antivirenlösungen melden die zahlreichen Proof-of-Concept- und Penetrationstesting-Tools als Malware, siehe Bild 1, so dass Angreifer sie nicht nutzen können.

Administratoren müssen jedoch bedenken, dass die meisten Tools im Sourcecode vorliegen, etwa das Pass-the-Hash-Toolkit. Ein Angreifer muss das Tool nur neu kompilieren, um der Entdeckung durch ein Antivirenprogramm zu entgehen.

Themenseiten: Hacker, Security-Praxis, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver

Kommentar hinzufügen

Kommentare sind bei diesem Artikel deaktiviert.