Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver

Um an Hashwerte von Passwörtern zu kommen gibt es mehrere Möglichkeiten. Wer lokale Adminrechte am Arbeitsplatz hat, kann die Passwortdatenbank des lokalen Rechners auslesen. Fehlen diese Rechte, so lässt sich sich Zugriff auf das Dateisystem verschaffen, indem man den Rechner mit einer eigenen Install-DVD von Windows 7 oder Vista bootet.

Das im Internet kursierende Tool pwdump6 leistet gute Dienste mit allen Windows-Versionen einschließlich Windows 7 und 2008 R2. Bild 3 zeigt, dass das Tool bereitwillig alle Hashwerte ausgibt. Es berücksichtigt den sogenannten SYSKEY, mit dem neuere Windows-Versionen die Password-Hashes zusätzlich verschlüsseln. Diese Verschlüsselung ist allerdings reversibel und der Key befindet sich im System-Hive der Registry. Die Ausgabe erfolgt im sogenannten Pwdump-Format, das im Wesentlichen mit der smbpasswd-Datenbank von Samba identisch ist.

Das Tool pwdump7 kann auch offline arbeiten, das heißt, wenn ein Rechner von einer Install-DVD gebootet wurde. Es kommt jedoch nur mit Windows-Versionen bis einschließlich XP zurecht.

Bild 3 zeigt ferner, dass für jeden Benutzer zwei Hashwerte existieren. Der erste ist der sogenannte LM-Hash, der primär aus Gründen der Rückwärtskompatibilität zu Windows 95 und 98 genutzt wird. Standardmäßig wird er nicht mehr verwendet, da er grundsätzliche kryptologische Schwächen aufweist. Der zweite ist der sogenannte NTLM-Hash, der manchmal auch NT-Hash genannt wird. Er wird in aktuellen Windows-Versionen verwendet.

Man erkennt, dass die Benutzer Administrator, christoh und named dasselbe Passwort haben, da der Hashwert ebenfalls identisch ist. Der NTLM-Hash ist nicht mit einem Salt versehen, wie man an Bild 4 erkennen kann. Es zeigt die smbpasswd-Datenbank eines Samba-Rechners. Die Benutzer root, christoh, www-data und bind besitzen dasselbe Passwort wie auf dem Windows-Rechner. Die Hashwerte auf dem Windows- und auf dem Samba-Rechner sind daher ebenfalls identisch.