Wir haben an dieser Stelle schon häufiger vor grundsätzlichen Passwort-Attacken gewarnt. Man kann jedoch eine Reihe von Vorsichtsmaßnahmen ergreifen, welche die Erfolgschancen solcher Attacken wenigstens mindern. Dazu gehört es beispielsweise, starke Passwörter mit komplexen Zahlen- und Buchstabenkombinationen zu verwenden, auf standardisierte Voreinstellungen zu verzichten und sinnvolle Abmeldeverfahren am Active Directory zu benutzen.
Doch genau hier darf der Prozess nicht enden! Hacker bedienen sich noch eines weiteren Tricks um Nutzerpasswörter zu erbeuten, und dieser ist weitaus schwieriger zu bekämpfen.
Erweiterte Passwort-Attacken oder genauer gesagt „Pass the Hash“ (kurz: PtH) – Attacken zielen auf die Login-Daten des Nutzers. Diese schnelle und effektive Variante des klassischen Passwort-Klaus sei, wie einige annehmen, besonders bei älteren Windows-Versionen zu beobachten.
Das ist zwar richtig, aber man sollte nicht unterschätzen, welche Bedeutung diese Attacken darüber hinaus haben: So waren PtH-Attacken Gegenstand von Präsentationen auf den letzten Black-Hat-Konferenzen, White Paper der Microsoft Trustworthy Computing Abteilung beschäftigen sich mit ihnen und sogar der Sicherheitsbericht der NSA…
Was genau ist ein Hash?
Sicherheitsforscher wissen es schon lange: das Speichern von Passwörtern in Klartext bietet nur einen niedrigen Sicherheitslevel. Als Alternative dazu ist man auf die Idee gekommen, Klartextzeichenfolgen mittels einer 1-Wege-Verschlüsselungsfunktion in einen sogenannten Hash zu übersetzen. Mehr zu diesem Thema können sie in Robs Beiträgen nachlesen.
Der springende Punkt hierbei ist, dass sowohl bei Windows- als auch bei Linux-Systemen der Hashwert anstelle des lesbaren Passworts gespeichert wird. Der Hash arbeitet also sozusagen als Proxy für eine Identität – und wenn das der Fall ist, kann er als potentielle Einstiegstür von Hackern ausgenutzt werden.
Bei Windows ist das NTLM-Authentifizierungsprotokoll für den Austausch von Nachrichten verantwortlich. Es überprüft nur, ob der Nutzer den richtigen Hash besitzt, ohne diesen tatsächlich zu versenden. Dieses Authentifizierungs-verfahren ist zentraler Bestandteil dessen wie Verzeichnisdienste auf Windows- Servern funktionieren. Active Directory unterstützt Remote-Logins innerhalb einer Domain und wird auch bei anderen Windows-Diensten genutzt, die Remote File Access verwenden.
Übrigens: Nachdem Schwachstellen in früheren NTLM-Versionen korrigiert worden sind, hat das fälschlich zu der Annahme geführt, dass PtH-Attacken der Vergangenheit angehören. Nicht nur, dass PtH immer noch existiert. Die Idee, den Hash entweder von der Festplatte oder einem anderen Speicher zu stehlen, kann durchaus auch bei anspruchsvolleren Authentifizierungs-methoden erfolgreich sein.
Den Hashwert nehmen wie er ist
Der Passwort-Hashwert, eine mathematische Ein-Wege-Darstellung des Passworts, dient direkt zum Anmelden des Anwenders bei einem Single-Sign-On (SSO)-Login. Dies ist ein essentielles Feature in Windows Enterprise-Umgebungen. So weit so gut.
Auf meinem Varonis-Laptop muss ich mich beispielsweise nur einmal mit meinem Passwort einloggen, Windows hasht es und speichert den Code – derzeit mit 128 Bits in NTLMv2 – sodass ich bei anderen Anwendungen mein Passwort nicht ständig erneut eingeben muss – Windows nutzt einfach den gespeicherten Hash. Und genau das reicht einem Hacker als Mittel zum Zweck.
Wir haben solche Attacken bereits gesehen. Meist mit RAM-Scraper-Malware bei PoS-Geräten. Dabei machen Hacker sich genau das zu nutze, um die nahezu ungeschützte Software innerhalb des Speichers auszuspähen. Es existieren unzählige Toolkits, die es Hackern erlauben, Informationen aus Speichern auszulesen und sich mit den ermittelten Daten einzuloggen.
Aus Hackersicht einer der wichtigsten Vorteile von SSO: Warum erst den Hashwert cracken, wenn man ihn einfach benutzen kann, wie er ist?
PtH: Es ist ein Feature, kein Fehler
Die zugrundeliegende Annahme bei Attacken dieser Art ist, dass sich ein Cyber-Krimineller zunächst die Administratoren-Berechtigungen für das jeweilige Gerät aneignet. Experten werden Ihnen bestätigen, dass das nicht unbedingt schwierig ist, wie wir bereits beim Target-Hack beobachten konnten.
Typischerweise wird der Hacker die erbeuteten Hashs nutzen, um sich auf diversen Servern einzuloggen und sich dort nach demselben Muster weitere Anmeldeinformationen beschaffen. Stößt er dabei auf einen Domainhost oder SQL-Server, kann der Eindringling an die Hashwerte von nahezu allen Nutzern gelangen.
Nebenbei gesagt, wir wissen nicht genau, wie Snowden an die Anmelde-informationen von anderen Mitarbeitern gelangt ist – Social Engineering wird dabei sicherlich eine Rolle gespielt haben. Aber seine Administratoren-berechtigungen würden eine PtH auch als eine praktikable Möglichkeit erscheinen lassen, um an Anmeldeinformationen von Personen einer höheren Sicherheitsstufe zu gelangen.
Unglücklicherweise ist Pass-the-Hash eine Windows-Funktion. Immerhin ist die zugrunde liegende NTLM-Authentifizierung effektiv genug, um SSO zu ermöglichen. Das bewahrt uns zumindest vor Passwortmüdigkeit.
Hacker nutzen aber genau diese Funktion für ihre Zwecke. Um nicht Windows allein die Schuld zu geben – PtH gibt es auch bei Linux-Systemen, die Kerberos implementiert haben. Hier lassen sich ähnliche Pass-the-Ticket oder PtT-Angriffe durchführen.
Hier noch der wichtigste Fakt zum Schluss. Eine PtH-Attacke ist eine spezielle Form des Logindaten-Diebstahls, und sie lässt sich nicht verhindern. Es ist aber sehr wohl möglich, die Chancen zu verringern, dass ein derartiger Angriff erfolgreich endet. In den nächsten Blogposts beschäftigen wir uns mit intelligenten Active-Directory-Konfigurationen und anderen Diensten, die dazu beitragen, das PtH-Risiko zu reduzieren.
The post „Pass the Hash“-Angriffe genauer betrachtet , Teil 1 appeared first on Varonis Deutsch.
Wie soll ich vorgehen?
Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:
Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.
Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.
Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.
