Das Release von Windows 10 sorgte für jede Menge Furore. Nachdem die Version Windows 9 komplett übersprungen wurde, waren die Erwartungen entsprechend hoch. Im Dezember unterhielt ich mich mit Professor Justin Cappos von der Polytechnic School of Engineering der New York University. Er ist ein angesehener Sicherheitsexperte und lobte die Sicherheitsabteilung von Microsoft in den höchsten Tönen. Er wandte allerdings ein, dass die Ergebnisse ihrer Spitzenforschung nicht unbedingt in die Produkte einfließen.
Bei Windows 10, das im Januar offiziell angekündigt wurde, haben sich die Sicherheitsforscher scheinbar nun doch durchgesetzt.
Das Ende von Pass-the-Ticket- und Pass-the-Hash-Angriffen?
Auch wenn Cortana und HoloLens bei der Produktpräsentation im Mittelpunkt standen, die wirklich aufregende Neuigkeit ist – zumindest für uns Sicherheitsfreaks –, dass Microsoft plant, seine in die Jahre gekommene Sicherheitsinfrastruktur vollständig zu überarbeiten.
Jim Alkove, der Produktmanager für Windows 10, hatte uns in einem Blog-Eintrag bereits im Oktober einen Einblick in die geplanten Neuerungen gegeben. Etwa zur gleichen Zeit veröffentlichte Microsoft das Windows 10 Technical Preview, das Sie kostenlos herunterladen und auf einem Reserve-PC oder einem virtuellen Computer testen können.
In den folgenden Blog-Einträgen gehe ich auf die wichtigsten Änderungen in puncto Authentifizierung und Datensicherheit ein, die derzeit heiß diskutiert werden. Man darf jedoch nicht vergessen, dass der momentane Stand alles andere als final ist. Die offizielle Version ist derzeit für den Herbst 2015 angekündigt. Alkove äußert jedenfalls, dass Windows 10 „Schluss machen will“ – lange Pause… – mit Pass-the-Hash- und Pass-the-Ticket-Angriffen.
Unsere treuen Blog-Leser wissen, dass wir schon ziemlich tief in PtH– und PtT-Gewässer abgetaucht sind. Und wir haben ein E-Book zu diesen beiden Methoden veröffentlicht, die benutzt werden um Hashes zu stehlen und andere Attacken auf das NTLM-Authentifizierungsprotokoll von Microsoft durchzuführen.
Für all diejenigen, die diese Beiträge nicht gelesen haben: Der springende Punkt ist, dass Windows und Linux niemals Klartextpasswörter speichern. Das ist einfach eine grundlegende Sicherheitsmaßnahme. Stattdessen wird ein so genannter Hash gespeichert, der per Einweg-Verschlüsselung generiert wird. Zu diesem Thema sollten Sie unbedingt den Blog-Eintrag von Rob Sobers lesen.
Unter Windows ist dieser Passwort-Hash leider, was die damit verbundenen Rechte und Möglichkeiten angeht, die Entsprechung zum Passwort. Informationstheoretiker nennen das Klartext-Äquivalent. Mit anderen Worten: Hacker, denen es gelungen ist in ein Windows-System einzudringen – was mithilfe von Phishing ein Kinderspiel ist – müssen sich nur Passwort-Hashes schnappen. Dann können sie sich als legitime Nutzer ausgeben.
Wo finden sie diese Hashes? Windows bewahrt sie im Subsystemdienst für die lokale Sicherheitsautorität (LSASS) auf. Im Prinzip befinden sie sich im Laptop- oder PC-Speicher des Nutzers.
Die Lösung: Container
Dass diese immens wichtigen Passwort-Hashes auf den Computern der Nutzer und nicht an einem sicheren, zentralen Ort gespeichert werden, ist ein Feature (und kein Bug) in Single Sign-on (SSO). Die meisten Unternehmen nutzen SSO. Dabei kann Windows den Passwort-Hash – der ja, wie wir wissen, dem Passwort entspricht – im LSASS wiederverwenden, ohne den Nutzer belästigen zu müssen.
Hacker sind allerdings wahre Meister, wenn es gilt dieses SSO-Feature auszunutzen. Mithilfe von Malware wie mimikatz können sie sich ganz einfach die Hashes aus dem Speicher unter den Nagel reißen und so die Anmeldedaten von Nutzern stehlen, ohne die Passwörter an sich zu kennen.
Mit Windows 10 will Microsoft diesen Tools jetzt allerdings einen Strich durch die Rechnung machen, indem es die Hashes in einem abgeriegelten Teil des Speichers aufbewahrt – technisch gesehen läuft der LSASS dann auf einem eigenen virtuellen Computer.
Microsoft hat natürlich seine eigene VM-Technologie Hyper V entwickelt, die allem Anschein nach in der neuesten Version von Windows zum Einsatz kommen soll.
Ob sich dieser Ansatz bei der Abwehr von Pass-the-Hash- und Pass-the-Ticket-Angriffen bewährt, wird sich erst noch herausstellen – der Teufel steckt immer im Implementierungsdetail.
Im unseren nächsten Blog-Beitrag geht es wieder um die Sicherheit in Windows 10 und weitere Änderungen bei der Authentifizierung. Dazu gehören Mehrfaktor-Authentifizierung und eine engere Integration mit der Unternehmens-PKI. Außerdem nehmen wir FIDO und Sicherheits-Ökosysteme unter die Lupe.
The post Das neue Sicherheitskonzept von Windows 10, Teil 1: Authentifizierung appeared first on Varonis Deutsch.