Windows-Versionen ab NT 4.0 SP4 verwenden neben der NTLM- die NTLMv2-Authentifizierung. Sie unterscheidet sich von NTLM dadurch, dass beim Austausch der Passwort-Hashes nicht nur eine Server-Challenge, sondern auch eine Client-Challenge eingesetzt wird. Ferner wird ein Zeitstempel verwendet, damit Replay-Angriffe ausgeschlossen sind. Beide Authentifizierungsmechanismen nutzen jedoch denselben NTLM-Hashwert.
Windows Versionen ab Vista authentifizieren sich nicht mehr mit NTLM, sondern nur noch mit NTLMv2. Allerdings akzeptieren sie aus Kompatibilitätsgründen auch noch LM und NTLM. Diese Einstellung lässt sich zwar ändern, so dass alle Rechner im Netzwerk NTLMv2 beherrschen müssen, jedoch wird davon kaum Gebrauch gemacht.
Der PsExec-Exploit im aktuellen Metasploit-Framework 3.3.3 arbeitet nur mit NTLM. Er ließe sich jedoch leicht auf NTLMv2 erweitern. In der Feature-Liste für die Version 3.4 steht NTLMv2-Support derzeit mit der Priorität „Medium“, da kein ernsthafter Bedarf daran bestehe. NTLMv2-Support für den PsExec-Exploit ist im Wesentlichen eine Fleißarbeit.
Administratoren, die ihre Netze auf NTLMv2-only umstellen, können zwar derzeit Pass-the-Hash-Attacken mit dem Metasploit-Frameworks verhindern, sind aber nicht grundsätzlich dagegen geschützt. Sie riskieren dabei auch Inkompatibilitäten mit manchen Linux- und Mac-OS-Rechnern.
- Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver
- Implementierungsfehler in der Windows-Security
- So kommen Angreifer an Administrator-Hashwerte
- Gecachte Konten von Domänen-Administratoren liegen auf lokalen Arbeitsplätzen
- So einfach lassen sich gestohlene Hashwerte einsetzen
- Pass-the-Hash-Angriffe auch mit NTLMv2-Authentifizierung möglich
- Fazit
Neueste Kommentare
Noch keine Kommentare zu Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.