Wenn ein Angreifer Passwort-Hashwerte gestohlen hat, muss er diese nur noch mit den richtigen Tools einsetzen. Bis einschließlich Windows XP SP3 ist dazu iam.exe aus dem Pass-The-Hash-Toolkit gut geeignet. Wie whosthere.exe klinkt es sich in den Prozess lsass.exe ein. Auf diese Weise tauscht man seine NTLM-Sitzungsauthentifizierung einfach gegen die eines Administrators aus.
Ab Windows Vista hat Microsoft die Nutzung von iam.exe unterbunden. Der Hashwert des Passworts liegt nicht mehr unverschlüsselt im Prozessspeicher von lsass.exe. Dabei wird allerdings nur die Nutzung des spezifischen Tools iam.exe verhindert. Das Prinzip funktioniert weiterhin. Durch Reverse Engineering neuerer Windows-Versionen ließe sich auch ein neues Tool herstellen.
Derzeit kann man unter Windows ab Vista das Metasploit-Framework für Pass-the-Hash-Angriffe einsetzen. Es besitzt einen PsExec-Exploit, der nach dem Sysinternals-Tool PsExec von Microsoft benannt ist. Der wesentliche Unterschied zum Original besteht darin, dass der PsExec-Exploit die komplette NTLM-Authentifizierung mit eigenem Code emuliert und keine Windows-Systemcalls benutzt.
Das erlaubt, dass der Exploit nicht nur Klartextpasswörter, sondern auch Hashwerte akzeptieren kann, siehe Bild 5. Metasploit kann auf Windows- und Unix-Rechnern ausgeführt werden. Der PsExec-Exploit kann gegen jede Windows-Version, inklusive Windows Server 2008 R2, gefahren werden. Man kann ihm einen beliebigen Payload aus dem Metasploit-Framework mitgeben. Besonders gut geeignet ist Meterpreter (PDF).
Bild 5 zeigt außerdem, dass ein Angreifer, der nur einen Passwort-Hash besitzt, sich mit dem Meterpreter-Kommando hashdump alle weiteren Hashwerte besorgen kann. Neben weiteren nützlichen Befehlen, ist vor allem das Kommando execute von Interesse. Damit lassen sich beliebige Programme ausführen, beispielsweise die Kommando-Shell cmd.exe, siehe Bild 7. Die Anweisung whoami zeigt, dass der Angreifer unter dem SYSTEM-Account auf dem fremden Rechner arbeitet und somit alle Rechte hat.
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…
DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.
Betroffen sind Windows und Windows Server. Microsoft patcht aber auch Schwachstellen in Excel, Word und…