So können Pass-the-Hash-Angriffe unterbunden werden

Jedes System, das die Microsoft-eigenen Sicherheitsprotokolle LAN-Manager (LM) und NT-LAN-Manager (NTLM) nutzt, ist durch Pass-the-Hash-Attacken verwundbar. Ein Hacker, der in einen Zielrechner eingedrungen ist und Administrator-Rechte erlangt hat, kann von dort aus auf Hashwerte von Passwörtern zugreifen, die in einer Authentifizierungsdatenbank oder im Arbeitsspeicher hinterlegt sind.

Max Waldherr, der Autor dieses Expertenbeitrags für ZDNet, ist Pre-Sales Manager und IAM-Experte bei Dell Software (Bild: Dell).

Auch ohne die eigentlichen Klartext-Passwörter ist er damit in der Lage, sich mit allen entsprechenden Rechten an Servern sowie oft auch in Anwendungen anzumelden und im Zweifel unternehmenskritische Daten auszulesen oder zu korrumpieren. Ohne Administrator-Rechte auf dem Zielrechner ist diese Vorgehensweise aber nicht möglich; zumindest sind keine solchen Fälle bekannt. Zahlreiche Exploits und laufende Applikationen in Windows können für Pass-the-Hash-Attacken genutzt werden. Allerdings sind solche Angriffe auch bei allen anderen, etwa Unix- oder Linux-basierten Betriebssystemen möglich.

Typischerweise nutzen Hacker Social-Engineering-Methoden oder soziale Manipulation, um eine Zielperson dazu zu bringen, einen Trojaner oder andere Schadsoftware auf einem Unternehmensrechner zu installieren – natürlich im Hintergrund und ohne dass sie sich dessen bewusst ist. Ist die Zielperson ein Mitglied der lokalen Administratoren-Gruppe, hat der Angreifer Zugriff auf die lokale SAM-Authentifizierungsdatenbank und kann die Hashwerte der lokalen Account-Namen und Passwörter auslesen. Es gibt auch eine Reihe von Tools, die diese Arbeit erledigen.

Mit diesen Hashwerten versuchen Hacker dann, weitere Systeme im Netz anzugreifen. Bevorzugtes Ziel sind natürlich Hashwerte von Domain-Administratoren oder privilegierte Accounts, die Zugriff auf Active Directory Domain Controller haben. Damit können sämtliche Log-in- und Passwort-Hashwerte des Netzwerkes ausgelesen werden.

Wie kann man Pass-the-Hash-Attacken unterbinden?

Pass-the-Hash-Attacken sind besonders heimtückisch, weil sie lange unentdeckt bleiben können. Deshalb gilt es, sie in einer umfassenden IT-Sicherheitsstrategie mit einzubeziehen. Die wichtigsten operativen Vorsichtsmaßnahmen sind im Überblick:

1. Sicherheitsprotokolle aktualisieren

Beim Microsoft LAN Manager und dem NT LAN Manager handelt es sich um veraltete Protokolle, die allerdings noch oft benutzt werden. Wichtig ist daher eine Aktualisierung auf NTML Version 2. Die Sicherheit verbessert sich dadurch spürbar.

2. Einem normalen Account niemals Admin-Rechte einräumen

Auch Administratoren sollten sich die Mühe machen, einen normalen Account für Alltagsarbeiten zu nutzen und die privilegierten Accounts nur dann zu verwenden, wenn sie wirklich benötigt werden. Im Zweifel heißt das, sich mehrmals am Tag an- und abzumelden; das ist der Preis für eine deutlich erhöhte Sicherheit.

3. Ein getrenntes System für Admin-Arbeiten nutzen

Ein eigener Rechner für den privilegierten Betrieb sollte stets auf dem neuesten technischen Stand sein, die letzten Betriebssystem-Versionen und alle notwendigen Patches eingespielt haben, strengen Sicherheits-Richtlinien genügen und Ethernet-Kabel statt WLAN-Zugang nutzen. Das sind einige der Maßnahmen, die das System erheblich sicherer machen.

4. Keine E-Mail-Accounts für Administratoren einrichten

E-Mails sind Scheunentore für Angriffe jeder Art, vor allem für Trojaner und Malware, die Pass-the-Hash-Attacken überhaupt erst möglich machen. Es muss sichergestellt sein, dass kein Administrator-Account über ein Exchange- oder sonstiges E-Mail-Konto verfügt.

5. Für privilegierte Accounts stets ein besonders starkes Passwort nutzen

Ein Passwort mit mindestens 15 Zeichen und Sonderzeichen sollte verwendet werden, da Windows ab dieser Länge einen LM-Hashwert speichert, der nicht für die User-Authentifizierung genutzt werden kann. Auch sollte das Passwort für diese Accounts häufiger erneuert werden.

6. Speichern des LM-Hashwerts verhindern

Die Speicherung des LM-Hashwerts in lokalen oder Active-Directory-Datenbanken kann verhindert werden, indem die NoLMHash-Richtlinien implementiert werden. Weitere Informationen sind auf dieser Webseite von Microsoft nachzulesen: http://support.microsoft.com/kb/299656/en-us

7. Zahl der privilegierten Accounts reduzieren

Je weniger User Adminrechte haben, desto geringer sind die Angriffschancen. Zeitgleich sollte auch die Anzahl der Rechner, die von Admins genutzt werden, möglichst klein gehalten werden.

8. Rollen-basierte Delegation nutzen

Nicht jeder Administrator muss über alle Rechte verfügen. Vielmehr können Zugriffsrechte je nach Aufgabe oder Organisationseinheit granular festgelegt werden, etwa im Rahmen von Rollen-basierten Gruppen.

9. Privileged Password Manager einsetzen

Solche Werkzeuge automatisieren, kontrollieren und verwalten die Passwortvergabe an Administratoren. Sie werden üblicherweise auf gehärteten Appliances eingesetzt, die über ein sicheres, Rollen-basiertes Interface zugänglich sind und Attacken oder Systemmodifikationen auf Betriebssystem-, Datenbank- oder System-Level vorbeugen. Privileged Password Manager gibt es sowohl von Dell als auch von anderen Anbietern. Sie stellen eine zusätzliche Sicherheitsschicht dar.

Letztlich sollte man stets die einfachsten Sicherheitsregeln beherzigen, etwa Microsofts „10 Immutable Laws of Security„. Regel eins lautet dort zum Beispiel: „Wenn ein Bösewicht dich davon überzeugt, sein Programm auf deinem Computer laufen zu lassen, ist es nicht mehr dein Computer.“ Gesunder Menschenverstand eben.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Rainer Schneider

Seit September 2013 ist Rainer hauptsächlich für ITespresso im Einsatz, schreibt aber gerne auch mal hintergründige Artikel für ZDNet und springt ebenso gerne für silicon ein. Er interessiert sich insbesondere für die Themen IT-Security und Mobile. Sein beständiges Ziel ist es, die komplexe IT-Welt so durchsichtig und verständlich wie möglich abzubilden.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago