Wenn ein Angreifer Passwort-Hashwerte gestohlen hat, muss er diese nur noch mit den richtigen Tools einsetzen. Bis einschließlich Windows XP SP3 ist dazu iam.exe aus dem Pass-The-Hash-Toolkit gut geeignet. Wie whosthere.exe klinkt es sich in den Prozess lsass.exe ein. Auf diese Weise tauscht man seine NTLM-Sitzungsauthentifizierung einfach gegen die eines Administrators aus.
Ab Windows Vista hat Microsoft die Nutzung von iam.exe unterbunden. Der Hashwert des Passworts liegt nicht mehr unverschlüsselt im Prozessspeicher von lsass.exe. Dabei wird allerdings nur die Nutzung des spezifischen Tools iam.exe verhindert. Das Prinzip funktioniert weiterhin. Durch Reverse Engineering neuerer Windows-Versionen ließe sich auch ein neues Tool herstellen.
Derzeit kann man unter Windows ab Vista das Metasploit-Framework für Pass-the-Hash-Angriffe einsetzen. Es besitzt einen PsExec-Exploit, der nach dem Sysinternals-Tool PsExec von Microsoft benannt ist. Der wesentliche Unterschied zum Original besteht darin, dass der PsExec-Exploit die komplette NTLM-Authentifizierung mit eigenem Code emuliert und keine Windows-Systemcalls benutzt.
Das erlaubt, dass der Exploit nicht nur Klartextpasswörter, sondern auch Hashwerte akzeptieren kann, siehe Bild 5. Metasploit kann auf Windows- und Unix-Rechnern ausgeführt werden. Der PsExec-Exploit kann gegen jede Windows-Version, inklusive Windows Server 2008 R2, gefahren werden. Man kann ihm einen beliebigen Payload aus dem Metasploit-Framework mitgeben. Besonders gut geeignet ist Meterpreter (PDF).
Bild 5 zeigt außerdem, dass ein Angreifer, der nur einen Passwort-Hash besitzt, sich mit dem Meterpreter-Kommando hashdump alle weiteren Hashwerte besorgen kann. Neben weiteren nützlichen Befehlen, ist vor allem das Kommando execute von Interesse. Damit lassen sich beliebige Programme ausführen, beispielsweise die Kommando-Shell cmd.exe, siehe Bild 7. Die Anweisung whoami zeigt, dass der Angreifer unter dem SYSTEM-Account auf dem fremden Rechner arbeitet und somit alle Rechte hat.
- Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver
- Implementierungsfehler in der Windows-Security
- So kommen Angreifer an Administrator-Hashwerte
- Gecachte Konten von Domänen-Administratoren liegen auf lokalen Arbeitsplätzen
- So einfach lassen sich gestohlene Hashwerte einsetzen
- Pass-the-Hash-Angriffe auch mit NTLMv2-Authentifizierung möglich
- Fazit
Neueste Kommentare
Noch keine Kommentare zu Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.