Wenn ein Angreifer Passwort-Hashwerte gestohlen hat, muss er diese nur noch mit den richtigen Tools einsetzen. Bis einschließlich Windows XP SP3 ist dazu iam.exe aus dem Pass-The-Hash-Toolkit gut geeignet. Wie whosthere.exe klinkt es sich in den Prozess lsass.exe ein. Auf diese Weise tauscht man seine NTLM-Sitzungsauthentifizierung einfach gegen die eines Administrators aus.
Ab Windows Vista hat Microsoft die Nutzung von iam.exe unterbunden. Der Hashwert des Passworts liegt nicht mehr unverschlüsselt im Prozessspeicher von lsass.exe. Dabei wird allerdings nur die Nutzung des spezifischen Tools iam.exe verhindert. Das Prinzip funktioniert weiterhin. Durch Reverse Engineering neuerer Windows-Versionen ließe sich auch ein neues Tool herstellen.
Derzeit kann man unter Windows ab Vista das Metasploit-Framework für Pass-the-Hash-Angriffe einsetzen. Es besitzt einen PsExec-Exploit, der nach dem Sysinternals-Tool PsExec von Microsoft benannt ist. Der wesentliche Unterschied zum Original besteht darin, dass der PsExec-Exploit die komplette NTLM-Authentifizierung mit eigenem Code emuliert und keine Windows-Systemcalls benutzt.
Das erlaubt, dass der Exploit nicht nur Klartextpasswörter, sondern auch Hashwerte akzeptieren kann, siehe Bild 5. Metasploit kann auf Windows- und Unix-Rechnern ausgeführt werden. Der PsExec-Exploit kann gegen jede Windows-Version, inklusive Windows Server 2008 R2, gefahren werden. Man kann ihm einen beliebigen Payload aus dem Metasploit-Framework mitgeben. Besonders gut geeignet ist Meterpreter (PDF).
Bild 5 zeigt außerdem, dass ein Angreifer, der nur einen Passwort-Hash besitzt, sich mit dem Meterpreter-Kommando hashdump alle weiteren Hashwerte besorgen kann. Neben weiteren nützlichen Befehlen, ist vor allem das Kommando execute von Interesse. Damit lassen sich beliebige Programme ausführen, beispielsweise die Kommando-Shell cmd.exe, siehe Bild 7. Die Anweisung whoami zeigt, dass der Angreifer unter dem SYSTEM-Account auf dem fremden Rechner arbeitet und somit alle Rechte hat.
Das Jahr 2024 beginnt laut Cloudflare mit einem Paukenschlag. Die automatischen Systeme des Unternehmens wehren…
Laut Kaspersky nehmen Infostealer gerade auch Spieleplattformen ins Visier. Neue Studie untersucht Angriffe zwischen 2021…
Ohne eine kostenlose Alternative, die ohne Zustimmung zur Verarbeitung personenbezogener Daten zu Werbezwecken auskommt, ist…
LabHost gilt als einer der größten Phishing-Dienstleister weltweit. Die Ermittler verhaften 37 Verdächtige, darunter der…
Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.
Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…