Pass-the-Hash-Angriffe vermeiden

Gefährlich einfach

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Denn der ursprünglich sehr aufwändige Pass-the-Hash-Angriff ist heutzutage nur noch eine Sache weniger Klicks.
Das Asset- & Lifecycle-Management bildet die Basis für viele wichtige IT-Management- wie auch kaufmännische Aufgaben. Im Juli-Heft widmet sich ... (mehr)

Pass-the-Hash (PtH) ist nunmehr seit 25 Jahren als Angriffsvektor bekannt, doch ist die uralte Problematik praktisch über Nacht kritisch geworden, denn der Angriff war technisch gesehen vor 25 Jahren echte Raketenwissenschaft. Der Angriffshebel existierte zwar, dessen Einsatz war aber fern jeder Realität, da er vor allem im Vergleich zu anderen Angriffsmethoden zu schwierig umzusetzen war. Heute gibt es Werkzeuge wie mimikatz, pwdump und andere, die vor 20 Jahren nicht existierten. Ein PtH-Angriff ist immer noch eine High-End-Technik, aber jetzt erlauben Werkzeuge, dass jedermann einen solchen Angriff mit wenigen Klicks durchführen kann. Das Level des benötigten Wissens ist mit diesen Tools extrem niedrig.

Verraten wir gleich den besten Schutz vor Pass-the-Hash: die interne Organisation. Es gibt keine "Klick-Aus"-Lösung – abgesehen von Credential Guard (CG). Diesen gibt es ab Windows 10, allerdings nur in der Enterprise-Variante, und erfordert die passende Hardware wie UEFI, TPM et cetera. Viele Administratoren ziehen prinzipiell eine simple Software jeglichem organisatorischen Ansatz vor, andernfalls würde es ja bedeuten, dass sie 20 Jahre alte Gewohnheiten ändern müssten – der viel schwierigere Lösungsweg. Gegen Pass-the-Hash gibt es ein paar technische Hebel, die Sie in Bewegung setzen können und die kleine oder auch größere Hürden für den Angreifer generieren, aber am Ende ist alles eine Frage der Organisation.

Der Pass-the-Hash-Mechanismus

Warum Pass-the-Hash als enorm effektiver Angriff funktioniert, zeigt sich, wenn wir das Vorgehen skizzieren und einige technische Grundlagen klären. Windows speichert Benutzeranmeldekennworte als Hash, also als Prüfsumme und nicht im Klartext. Eine Ausnahme bildet hier der Fall, wenn der Administrator die Checkbox "Kennwort speichern" bei einer RDP-Verbindung über "mstsc.exe" aktiviert oder die

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018