Auch Windows verwendet normalerweise eine Passwortdatenbank, die nur aus Hashwerten besteht. Allerdings hat Microsoft in seiner Implementierung eine Besonderheit eingebaut, die für Angriffe ausgenutzt werden kann: Die Umwandlung des Passwortes in den Hashwert geschieht auf dem Client und nicht auf dem Server.
Wenn man den Hashwert aus der Passwortdatenbank kennt, kann man diesen an einen Server schicken, um vorzutäuschen, ein anderer Benutzer zu sein. Diese Vorgehensweise bezeichnet man als Pass-the-Hash-Angriff.
In vielen anderen Situationen tritt das Problem nicht auf. Bei einer HTTPS-Sitzung wird beispielsweise das Klartextpasswort auf dem Übertragungsweg verschlüsselt und erst auf dem Server in den Hashwert umgewandelt. Ein Angreifer, der den Hashwert aus der Passwortdatenbank gestohlen hat, kann damit in einem Angriff von außen nichts anfangen.
Unter Windows gilt hingegen der Grundsatz: Der Hashwert des Passworts ist genauso gut zum Einloggen geeignet wie das Passwort selbst. Ein Angreifer muss dazu nur in der Lage sein, die richtigen Tools aus dem Internet herunterzuladen, was recht einfach ist. Schwieriger ist es die Passworthashes zu stehlen. Doch auch dazu bietet Windows Ansätze.
Bashar Ewaidar und Kristof Boeynaems haben im Januar 2010 für das SANS Institute eine Bestandsaufnahme (PDF) gemacht. Das Ergebnis ist ernüchternd: Zwar funktionieren viele Tools für die Durchführung von Pass-the-Hash-Angriffen und den Diebstahl von Passwortdatenbanken nicht mehr unter Windows Versionen ab Vista, jedoch ist das grundsätzliche Problem nicht behoben.
Darüber hinaus erzielt man mit gut gepflegten Penetrationstest-Suiten, beispielsweise dem Metasploit-Framework, nach wie vor sehr gute Ergebnisse gegen alle aktuellen Windows-Versionen wie Windows Server 2008 R2. Viele Antivirenlösungen melden die zahlreichen Proof-of-Concept- und Penetrationstesting-Tools als Malware, siehe Bild 1, so dass Angreifer sie nicht nutzen können.
Administratoren müssen jedoch bedenken, dass die meisten Tools im Sourcecode vorliegen, etwa das Pass-the-Hash-Toolkit. Ein Angreifer muss das Tool nur neu kompilieren, um der Entdeckung durch ein Antivirenprogramm zu entgehen.
Seine Trainingsdaten umfassen 3,8 Milliarden Parameter. Laut Microsoft bietet es eine ähnliche Leistung wie OpenAIs…
Sie erlaubt eine Remotecodeausführung außerhalb der Sandbox. Betroffen sind Chrome für Windows, macOS und Linux.
Probleme treten vor allem bei Nutzern von Outlook Web Access auf. Das optionale Hotfix-Update für…
Die Einladung zeigt einen zeichnenden Apple Pencil. Der wiederum deutet auf neue iPads hin. Es…
Die Richtlinie erhält 584 Ja-Stimmen und 3 Gegenstimmen. Das „Recht auf Reparatur“ beinhaltet unter bestimmten…
Die Tests basieren auf tatsächlich existierenden Sicherheitslücken. GPT-4 erreicht eine Erfolgsquote von 87 Prozent. Alle…