Windows ist grundsätzlich anfällig für Pass-the-Hash-Angriffe. Das liegt an einer Designschwäche der LM- und NTLM-Authentifizierung, die vorschreibt, dass das Klartextpasswort auf dem Client in einen Hashwert umgewandelt wird, der mit dem Hashwert der Passwortdatenbank auf dem Server verglichen wird.
Auch die neueste Variante der Windows-Authentifizierung NTLMv2 schützt nicht vor diesen Angriffen, sondern lediglich gegen Angriffe mit Rainbow-Tabellen und Replay-Attacken. Der einzige Schutz, den NTLMv2 bei Pass-the-Hash-Angriffen derzeit bietet, besteht darin, dass viele fertige, für jedermann einsetzbare Hackertools nicht mehr funktionieren.
Um eine Pass-the-Hash-Attacke durchzuführen, muss der Angreifer Hashwerte von Administratorkonten stehlen. Die sind zwar nicht einfach zugänglich, lassen sich aber unter bestimmten Bedingungen, die in Firmennetzen meist erfüllt sind, von normalen Domänenbenutzern beschaffen.
Auf einem Arbeitsplatzrechner, auf dem ein Benutzer Admin-Rechte hat oder den er mit einem Boot-Medium starten kann, reicht es normalerweise aus, einen Administrator dazu zu bringen, sich einmal auf dem Arbeitsplatzrechner einzuloggen. Dann ist der Hashwert des Administratorpassworts auf dem lokalen Rechner gecacht.
Natürlich gibt es Möglichkeiten, sich vor dem Passwortdiebstahl zu schützen. Ein Unternehmen, das Notebooks für mobile Nutzer einsetzt und damit auf Passwort-Caching angewiesen ist, kann beispielsweise lokale Administratorkonten auf jedem Rechner definieren. Dabei muss jedoch jeder Arbeitsplatzrechner ein eigenes Passwort haben. Mit diesem Passwort kann sich ein Administrator im Bedarfsfall lokal anmelden.
Solche Sicherheitsrichtlinien führen jedoch zu einem sehr hohen Verwaltungsaufwand. Hinzu kommt, dass Passwort-Caching nur eine von vielen Methoden ist, um an Passwort-Hashwerte von Administratorkonten zu kommen. Einen hundertprozentigen Schutz gegen Pass-the-Hash-Angriffe kann es nur geben, wenn Microsoft in kommenden Windows-Version das grundsätzliche Authentifizierungsverfahren ändert.
- Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver
- Implementierungsfehler in der Windows-Security
- So kommen Angreifer an Administrator-Hashwerte
- Gecachte Konten von Domänen-Administratoren liegen auf lokalen Arbeitsplätzen
- So einfach lassen sich gestohlene Hashwerte einsetzen
- Pass-the-Hash-Angriffe auch mit NTLMv2-Authentifizierung möglich
- Fazit
Neueste Kommentare
Noch keine Kommentare zu Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.