Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver

Windows-Versionen ab NT 4.0 SP4 verwenden neben der NTLM- die NTLMv2-Authentifizierung. Sie unterscheidet sich von NTLM dadurch, dass beim Austausch der Passwort-Hashes nicht nur eine Server-Challenge, sondern auch eine Client-Challenge eingesetzt wird. Ferner wird ein Zeitstempel verwendet, damit Replay-Angriffe ausgeschlossen sind. Beide Authentifizierungsmechanismen nutzen jedoch denselben NTLM-Hashwert.

Windows Versionen ab Vista authentifizieren sich nicht mehr mit NTLM, sondern nur noch mit NTLMv2. Allerdings akzeptieren sie aus Kompatibilitätsgründen auch noch LM und NTLM. Diese Einstellung lässt sich zwar ändern, so dass alle Rechner im Netzwerk NTLMv2 beherrschen müssen, jedoch wird davon kaum Gebrauch gemacht.

Der PsExec-Exploit im aktuellen Metasploit-Framework 3.3.3 arbeitet nur mit NTLM. Er ließe sich jedoch leicht auf NTLMv2 erweitern. In der Feature-Liste für die Version 3.4 steht NTLMv2-Support derzeit mit der Priorität „Medium“, da kein ernsthafter Bedarf daran bestehe. NTLMv2-Support für den PsExec-Exploit ist im Wesentlichen eine Fleißarbeit.

Administratoren, die ihre Netze auf NTLMv2-only umstellen, können zwar derzeit Pass-the-Hash-Attacken mit dem Metasploit-Frameworks verhindern, sind aber nicht grundsätzlich dagegen geschützt. Sie riskieren dabei auch Inkompatibilitäten mit manchen Linux- und Mac-OS-Rechnern.

Themenseiten: Hacker, Security-Praxis, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *