Windows-Versionen ab XP lehnen grundsätzlich die Übertragung des Klartextpassworts über das Netz ab, sofern dies nicht in der Sicherheitsrichtlinie explizit erlaubt wurde, siehe Bild 4. Das bietet jedoch keinen echten Schutz. Wenn Windows-Clients ein Passwort verschlüsselt senden, bedeutet das, dass es noch auf dem Client in einen Hashwert umgerechnet wird, aus dem sich das Klartextpasswort nicht mehr berechnen lässt.
Dieser Hashwert wird mittels Challenge-Response-Verfahren verschlüsselt an den Server geschickt, der ihn wieder entschlüsselt und mit der lokalen SAM- oder der Active-Directory-Datenbank vergleicht. Neuere Samba-Hacks speichern den erhaltenen Hashwert anstelle des Klartextpassworts zusammen mit dem Benutzernamen ab.
Mit Standard-Windows-Programmen, etwa dem Windows-Explorer, lässt sich der Hashwert nicht nutzen. Trotzdem gilt, dass der Hashwert eines Passworts genauso gut ist, wie das Passwort selbst. Mit einem eigenen Programm, das das SMB-Protokoll nachbildet, kann der Hashwert zur Authentifizierung verwendet werden. Diese Form des Angriffs wird Pass-the-Hash-Attacke genannt. Auch dafür bietet das Metasploit-Framework einen Exploit, der sich mit dem Meterpreter-Payload kombinieren lässt.
Den besten Schutz gegen diese Form des Angriffs erreicht man dadurch, dass man Rechnern, die nicht zum Firmennetz gehören, den Zugang zum Intranet bereits auf der MAC-Ebene verweigert, etwa durch 802.1X-Authentifizierung und die Network Access Protection von Windows Server 2008. So können Mitarbeiter keine Rechner mit modifizierten SMB-Servern ins Netz nehmen. Sollten Mitarbeiter jedoch auf andere Art und Weise an Passwort-Hashwerte gekommen sein, können sie diese von ihren Arbeitsplatzrechnern aus für Angriffe verwenden.
Derzeit existiert kein Metasploit-Modul, das Pass-The-Hash-Angriffe mit der NTLMv2-Authentifzierungsmethode erlaubt. Wer seine Server so konfiguriert, dass sie nur NTLMv2-Verbindungen akzeptieren, hat dennoch nur einen geringen Schutz, da Angreifer einen NTLMv2-kompatiblen Exploit entwickeln können. Zudem verhindert diese Methode nicht, dass Mitarbeiter Passwort-Hashwerte sammeln.
Kontinuierliche Content Produktion und Markenaufbau sind essentieller Pfeiler von langfristigen Unternehmenserfolg. Das ist mittlerweile auch…
KI-Funktionen beschleunigen die Erholung des PC-Markts. Der Nettogewinn legt um 44 Prozent zu, der Umsatz…
Googles App-Entwickler-Kit dient der Tarnung des schädlichen Codes. Der Sicherheitsanbieter Jamf hält die Schadsoftware für…
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…