Windows ist grundsätzlich anfällig für Pass-the-Hash-Angriffe. Das liegt an einer Designschwäche der LM- und NTLM-Authentifizierung, die vorschreibt, dass das Klartextpasswort auf dem Client in einen Hashwert umgewandelt wird, der mit dem Hashwert der Passwortdatenbank auf dem Server verglichen wird.
Auch die neueste Variante der Windows-Authentifizierung NTLMv2 schützt nicht vor diesen Angriffen, sondern lediglich gegen Angriffe mit Rainbow-Tabellen und Replay-Attacken. Der einzige Schutz, den NTLMv2 bei Pass-the-Hash-Angriffen derzeit bietet, besteht darin, dass viele fertige, für jedermann einsetzbare Hackertools nicht mehr funktionieren.
Um eine Pass-the-Hash-Attacke durchzuführen, muss der Angreifer Hashwerte von Administratorkonten stehlen. Die sind zwar nicht einfach zugänglich, lassen sich aber unter bestimmten Bedingungen, die in Firmennetzen meist erfüllt sind, von normalen Domänenbenutzern beschaffen.
Auf einem Arbeitsplatzrechner, auf dem ein Benutzer Admin-Rechte hat oder den er mit einem Boot-Medium starten kann, reicht es normalerweise aus, einen Administrator dazu zu bringen, sich einmal auf dem Arbeitsplatzrechner einzuloggen. Dann ist der Hashwert des Administratorpassworts auf dem lokalen Rechner gecacht.
Natürlich gibt es Möglichkeiten, sich vor dem Passwortdiebstahl zu schützen. Ein Unternehmen, das Notebooks für mobile Nutzer einsetzt und damit auf Passwort-Caching angewiesen ist, kann beispielsweise lokale Administratorkonten auf jedem Rechner definieren. Dabei muss jedoch jeder Arbeitsplatzrechner ein eigenes Passwort haben. Mit diesem Passwort kann sich ein Administrator im Bedarfsfall lokal anmelden.
Solche Sicherheitsrichtlinien führen jedoch zu einem sehr hohen Verwaltungsaufwand. Hinzu kommt, dass Passwort-Caching nur eine von vielen Methoden ist, um an Passwort-Hashwerte von Administratorkonten zu kommen. Einen hundertprozentigen Schutz gegen Pass-the-Hash-Angriffe kann es nur geben, wenn Microsoft in kommenden Windows-Version das grundsätzliche Authentifizierungsverfahren ändert.
Das weltweit erste 5-in-1-Tischladegerät mit kabelloser Qi2-Aufladung und einziehbarem Kabel.
RansomHub kann per Fernverschlüsselung über ein einziges ungeschütztes Endgerät Daten im gesamten Netzwerk verschlüsseln.
Die neuen OpenRun Pro 2 von Shokz sind die neueste Weiterentwicklung der beliebten offenen Sportkopfhörer.…
PDF-Bearbeitungssoftware jetzt im Black Friday Sale mit 50 Prozent Rabatt!
ISG untersucht deutschen Workplace-Services-Markt. Digital Employee Experience (DEX) gilt als Schlüssel für neues Wachstum.
Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…