Schwachstellen in Kerberos: Pass-the-Ticket-Angriffe, eine echte Bedrohung

August ist ein guter Zeitpunkt, um Schattenseiten zu erforschen. Anfang des Monats fand die jährliche Black-Hat-Konferenz statt, auf der stets interessante Vorträge gehalten werden. Ich habe erst kürzlich über Kerberos...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 1. November 2021

August ist ein guter Zeitpunkt, um Schattenseiten zu erforschen. Anfang des Monats fand die jährliche Black-Hat-Konferenz statt, auf der stets interessante Vorträge gehalten werden. Ich habe erst kürzlich über Kerberos geschrieben. Zwar ist das Kerberos-Protokoll sicherer als NTLM von Microsoft, doch nichts ist perfekt. Ich bin auf eine Präsentation gestoßen, die sich genauer mit den Schwachstellen von Kerberos beschäftigt.

Man muss dazu sagen, dass auch Kerberos schon angegriffen worden ist, allerdings nicht annähernd so häufig wie das weiter verbreitete NTLM-Protokoll. Die Methoden, mit denen Hacker Kerberos angreifen, sind deutlich aktueller. Eine recht beunruhigende Angriffsmöglichkeit wurde kürzlich diskutiert; ich komme später noch darauf zurück.

Der Höllenhund hat also Flöhe.

Einer davon ist das passive Abhören einer Verbindung und das Sammeln von Paketen aus dem letzten Teil des Kerberos-Datenaustauschs. Kommt Ihnen das bekannt vor? Der Client verfügt bereits über die erforderlichen Informationen für die anschließende Datenübertragung: das Serverticket und den Schlüssel für die Serversitzung. Wenn dann der eigentliche Dienst angefordert wird, muss der Client nur noch einige Identifikationsmerkmale mit dem Schlüssel für die Serversitzung verschlüsseln und anschließend das Serverticket hinzufügen.

Wenn ein Hacker die zuletzt ausgetauschten Daten erneut senden könnte (richtig, es handelt sich um einen Replay-Angriff), könnte er theoretisch auf den Dienst zugreifen. Doch Kerberos versieht alle Daten mit Zeitstempeln, daher müsste ein Angreifer ausgesprochen schnell handeln. Und nachdem die IP‑Adresse des Absenders Teil der verschlüsselten Identifikationsmerkmale sein kann, sollten Angriffe theoretisch erfolglos bleiben.

Ist Kerberos auf andere Arten angreifbar?

Die Leser dieses Blogs wissen, dass wir grundsätzlich davon ausgehen, dass Hacker letztendlich in der Lage sind, auf ein System zuzugreifen. Oder anders gesagt: Kryptografie ist kein Allheilmittel. Das Grundproblem besteht natürlich darin, dass Hacker inzwischen leichter ins System eindringen und ursprünglich nicht zugängliche Informationen über die Verschlüsselung ausspionieren können.

Vor diesem Hintergrund wird in der Black-Hat-Präsentation ein Pass-The-Hash-Angriff auf Kerberos beschrieben, bei dem sich der Angreifer – es war ja nicht anders zu erwarten – die Tickets zunutze macht. Ein Pass-The-Ticket-Angriff also. Laut Präsentation werden die ID des Ticket-granting Ticket (TGT) und die Sitzungskennung in Windows-Umgebungen im Speicher gehalten, und zwar im Speicherbereich des Local Security Authority Subsystem oder kurz LSASS, in dem auch die NTLM-Hashes gespeichert werden. Wer hätte das gedacht?

Penetrationstester haben bereits herausgefunden, in welchem LSASS-Bereich sich die Kerberos-Tickets befinden, und verfügen mittlerweile über Tools, um sie abzugreifen. Einer der Vortragenden, Benjamin Delpy, hat hier schon einen Großteil der Vorarbeit geleistet.

Was bedeutet das? Viele unserer Ratschläge in Bezug auf Pass-the-Hash-Angriffe dürften auch auf Kerberos zutreffen. Letztendlich soll die Wahrscheinlichkeit verringert werden Tickets einer höheren Berechtigungsstufe einzusammeln. Für Kerberos spricht allerdings der für das TGT festgelegte Ablaufzeitraum. In Windows beträgt er standardmäßig zehn Stunden. Demnach muss ein Hacker relativ schnell agieren.

Doch was, wenn das Ticket eine extrem lange Lebensdauer hätte, etwa mehrere Jahre, und umfassende Berechtigungen gewähren würde? Diese beängstigende Vorstellung, auch als „Golden Ticket“ bezeichnet, wird in einem anderen Teil der Präsentation aufgegriffen.

Darauf gehe ich in meinem nächsten Blog Post ein.

The post Schwachstellen in Kerberos: Pass-the-Ticket-Angriffe, eine echte Bedrohung appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

„pass-the-hash“-angriffe-genauer-betrachtet-,-teil-1
„Pass the Hash“-Angriffe genauer betrachtet , Teil 1
Wir haben an dieser Stelle schon häufiger vor grundsätzlichen Passwort-Attacken gewarnt. Man kann jedoch eine Reihe von Vorsichtsmaßnahmen ergreifen, welche die Erfolgschancen solcher Attacken wenigstens mindern. Dazu gehört es beispielsweise,...
ein-leitfaden-zu-kryptografischen-hashfunktionen-(teil-2)
Ein Leitfaden zu kryptografischen Hashfunktionen (Teil 2)
von Rob Sobers Im ersten Teil dieser Artikelserie habe ich über die Verwendung von kryptografischen Hashfunktionen zur Verschlüsselung von Passwörtern gesprochen. Ich habe darauf hingewiesen, warum es so wichtig ist, dass sich die...
„pass-the-hash“-angriffe-genauer-betrachtet,-teil-3
„Pass the Hash“-Angriffe genauer betrachtet, Teil 3
Beim Thema „Pass the Hash“ sollte man sich unbedingt in Erinnerung rufen, dass die im Speicher abgelegten (und von Hackern entwendeten) Passwort-Hashes aufgrund von Single Sign On’s existieren. Die meisten...
(rbac)-rollenbasierte-zugriffskontrolle-:-was-ist-das-und-warum-implementieren?
(RBAC) Rollenbasierte Zugriffskontrolle : Was ist das und warum implementieren?
Kann ein gestohlenes Passwort der Schlüssel zum ganzen Königreich sein? Nun, es stellt sich heraus, dass bei 81% der Datenschutzverletzungen im Jahr 2017 gestohlene oder schwache Passwörter verwendet wurden, um...