Die Presse hat es hinlänglich berichtet: Laut der US-Sicherheitsfirma Hold Security haben russische Hacker rund 1,2 Milliarden Profildaten (Logins und Passwörter) sowie rund 500 Millionen E-Mail-Adressen von 420 000 Websites erbeutet. Für deutsche Internet-Nutzer gibt es bisher keine Hinweise, ob sie von dem rekordverdächtigen Daten-Diebstahl betroffen sind. Im Zusammenhang mit solchen Datenlecks kommt auch immer die Frage auf, wie gut Passwörter eigentlich auf Windows-Systemen beziehungsweise in Windows-Netzwerken geschützt sind.

Das Mittel der Wahl zum Absaugen von Passwörtern im Windows-Umfeld sind “Pass-the-Hash” (PtH)-Angriffe. Ein PtH-Angriff ähnelt stark dem Passwort-Klau (“password theft attack”), basiert aber auf dem Absaugen und Weiterverwenden von verschlüsselten Passwort-Hashwerten – also den einmaligen mathematische Entsprechungen der Passwörter. Diese können auch direkt zur Authentifizierung verwendet werden, um zum Beispiel Dienste zu nutzen, die nur durch eine einmalige Anmeldung (Single Sign-On, SSO) geschützt sind. PtH ist ein spezieller Typ des Profildaten-Diebstahls, der weit verbreitet ist und Verunsicherungen auf der Seite der Nutzer verursacht.

Um diese Technik zu nutzen, muss ein Angreifer zuerst lokalen Admin-Zugriff auf einem Computer haben, um die Profildaten von der Festplatte oder aus dem Speicher auszulesen und zu stehlen. Auf diesem privilegierten Level kann der Angreifer nicht nur die Passwort-Hashes abgreifen, sondern auch andere Profildaten, die auf dem kompromittierten Computer gespeichert sind. Lokalen Admin-Zugriff bekommt der Angreifer, indem er entweder den lokalen Admin-Account kompromittiert, oder einen Domain-Account hackt, der Zugriff auf eine lokale Admin-Gruppe hat.

Per PtH kann ein Angreifer, der einen einzelnen Computer kompromittiert hat, auch auf andere, mit diesem verbundene Rechner zugreifen. Dazu gehören auch Domain Controller und andere Server, auf denen relevante Informationen liegen. Deshalb kann das Minimieren des Risikos eines PtH-Angriffs die Sicherheit einer Active-Directory-Umgebung wesentlich verbessern.

Weitere Informationen, wie Windows-Anwender – vor allem in Unternehmen – sich gegen diese Angriffe schützen können, hat Microsoft online zusammengestellt. Ebenso detaillierte Informationen, wie Windows Passwörter verschlüsselt, speichert und schützt.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.