Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver

Viele Administratoren richten sich auf den Arbeitsplatzrechnern der Mitarbeiter ein Administratoraccount mit demselben Kennwort ein, das auch das Domänen-Administratorkonto besitzt. In diesem Fall kann ein Mitarbeiter die lokale Benutzerdatenbank verwenden, um Domain-Administrator zu werden.

Wesentlich gefährlicher sind die sogenannten gecachten Domain-Accounts: Damit man sich auch dann auf einem mobilen Rechner anmelden kann, wenn man nicht im Firmennetzwerk ist, merkt sich Windows die Hashwerte von Domänen-Konten in der lokalen Registry. Ein Angreifer muss also nur den Administrator dazu bewegen, sich auf seinem Rechner einzuloggen, beispielsweise indem er einen Support-Fall vortäuscht. Danach kann der Mitarbeiter den Hashwert des Domänen-Administrator-Passworts auslesen – notfalls durch ein Boot-Medium.

Im Internet kursieren weitere Tools, die durchaus kreative Ansätze zu bieten haben. Das Tool whosthere.exe aus dem Pass-the-Hash-Toolkit klinkt sich in den Prozess lsass.exe ein und liest die Hashwerte aller Passwörter von allen eingeloggten Benutzern aus. Dieses Program nutzen häufig Administratoren von einzelnen Servern oder Unterdomänen, deren Administrationsrechte nicht firmenweit gelten.

Mit whosthere.exe müssen sie nur darauf warten, dass sich ein globaler Unternehmensadministrator einloggt, beispielsweise über die Remote-Desktop-Services. Dann können sie ihre Befugnisse durch Diebstahl des Passwort-Hashwerts eines höheren Administrators erweitern. whosthere.exe funktioniert allerdings nicht mit Windows Versionen ab Vista. Windows Server 2008 lässt sich also auf diese Weise nicht ausspionieren.