Auch Windows verwendet normalerweise eine Passwortdatenbank, die nur aus Hashwerten besteht. Allerdings hat Microsoft in seiner Implementierung eine Besonderheit eingebaut, die für Angriffe ausgenutzt werden kann: Die Umwandlung des Passwortes in den Hashwert geschieht auf dem Client und nicht auf dem Server.
Wenn man den Hashwert aus der Passwortdatenbank kennt, kann man diesen an einen Server schicken, um vorzutäuschen, ein anderer Benutzer zu sein. Diese Vorgehensweise bezeichnet man als Pass-the-Hash-Angriff.
In vielen anderen Situationen tritt das Problem nicht auf. Bei einer HTTPS-Sitzung wird beispielsweise das Klartextpasswort auf dem Übertragungsweg verschlüsselt und erst auf dem Server in den Hashwert umgewandelt. Ein Angreifer, der den Hashwert aus der Passwortdatenbank gestohlen hat, kann damit in einem Angriff von außen nichts anfangen.
Unter Windows gilt hingegen der Grundsatz: Der Hashwert des Passworts ist genauso gut zum Einloggen geeignet wie das Passwort selbst. Ein Angreifer muss dazu nur in der Lage sein, die richtigen Tools aus dem Internet herunterzuladen, was recht einfach ist. Schwieriger ist es die Passworthashes zu stehlen. Doch auch dazu bietet Windows Ansätze.
Bashar Ewaidar und Kristof Boeynaems haben im Januar 2010 für das SANS Institute eine Bestandsaufnahme (PDF) gemacht. Das Ergebnis ist ernüchternd: Zwar funktionieren viele Tools für die Durchführung von Pass-the-Hash-Angriffen und den Diebstahl von Passwortdatenbanken nicht mehr unter Windows Versionen ab Vista, jedoch ist das grundsätzliche Problem nicht behoben.
Darüber hinaus erzielt man mit gut gepflegten Penetrationstest-Suiten, beispielsweise dem Metasploit-Framework, nach wie vor sehr gute Ergebnisse gegen alle aktuellen Windows-Versionen wie Windows Server 2008 R2. Viele Antivirenlösungen melden die zahlreichen Proof-of-Concept- und Penetrationstesting-Tools als Malware, siehe Bild 1, so dass Angreifer sie nicht nutzen können.
Administratoren müssen jedoch bedenken, dass die meisten Tools im Sourcecode vorliegen, etwa das Pass-the-Hash-Toolkit. Ein Angreifer muss das Tool nur neu kompilieren, um der Entdeckung durch ein Antivirenprogramm zu entgehen.
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.
Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…
Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.