Eine bestimmte Form von Angriffen, sogenannte Pass-the-Hash (PtH)-Attacken, hat sich jüngst stärker verbreitet und bereitet unseren Kunden zunehmend Kopfschmerzen. Daher haben die US-Kollegen ein Whitepaper zum Thema PtH verfasst. Es soll Organisationen helfen, sich gegen diese Art des Angriffs zur Wehr zu setzen. Das Dokument erläutert unter anderem, wie diese und andere, ähnliche Angriffe funktionieren und erklärt, wie Sicherheitsfunktionen in Windows helfen können, das von diesen Attacken ausgehende Risiko zu minimieren.

Bei einer Pash-the-Hash-Attacke klaut der Angreifer Login-Daten (Benutzername, Passwort) auf einem Rechner, um sich dann mit Hilfe dieser Daten an anderen Rechnern im Netzwerk anzumelden. Der PtH-Angriff ähnelt einem klassischen Passwortklau. Wobei bei PtH nicht das Klartextpasswort mitgeschnitten, sondern der Hashwert das Passworts abgefangen und wieder verwendet wird. Der Passwort-Hashwert, eine mathematische Ein-Wege-Darstellung des Passworts, dient direkt zum Anmelden des Anwenders bei einem Single-Sign-On (SSO)-Login.

Diese Form des Angriffs setzt voraus, dass der Angreifer zuvor lokalen Administrator-Zugriff auf einen PC in der jeweiligen Organisation erlangt. Er kann dann die Anmeldedaten von der Festplatte oder aus dem Speicher des Rechners kopieren. Mittels dieser Zugriffsberechtigung kann der Angreifer nicht nur Passwort-Hashes einsammeln, sondern auch jegliche andere Anmeldedaten, die auf dem übernommenem PC gespeichert sind. An die Admin-Rechte kommt der Angreifer entweder, in dem er sich als lokaler Administrator, Domain-Admin mit lokalen Admin-Rechten oder anderweitiger Anwender ausgibt, der Treiber und Anwendungen installieren und Anwendungen ausführen kann, die direkt auf Festplatte und Hauptspeicher zugreifen dürfen.

Mittels PtH kann der Angreifer nach Übernahme eines einzelnen PCs Zugriff auf andere Rechner im Netzwerk bekommen – inklusive Domain-Controller und andere Server. Daher kann das Minimieren des Risikos, das von PtH und ähnlichen Angriffen ausgeht, die Widerstandsfähigkeit einer Active-Directory-Umgebung beträchtlich erhöhen. Die PtH-Attacke ist eine spezielle Form des Logindaten-Diebstahls. Unser Whitepaper konzentriert sich auf Windows-Systeme, wobei andere Betriebssysteme anfällig sind für ähnliche Attacken.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.