Definition

Pass-the-hash-Angriff

Bei Pass the Hash handelt es sich in erster Linie um eine Technik der lateralen Bewegung. Das bedeutet, dass Angreifer Pass the Hash nutzen, um zusätzliche Informationen und Anmeldeinformationen zu erhalten, nachdem sie bereits ein Gerät kompromittiert haben. Indem sie sich seitlich zwischen Geräten und Konten bewegen, können Angreifer mit Pass the Hash die richtigen Anmeldeinformationen erlangen, um schließlich ihre Domänenprivilegien zu erweitern und auf einflussreichere Systeme zuzugreifen, beispielsweise auf ein Administratorkonto auf dem Domänencontroller. Die meisten Bewegungen, die während eines Pass-the-Hash-Angriffs ausgeführt werden, verwenden ein Remote-Softwareprogramm, zum Beispiel Malware.

Pass-the-Hash-Angriffe richten sich in der Regel gegen Windows-Systeme, können aber in einigen Fällen auch gegen andere Betriebssysteme und jedes Authentifizierungsprotokoll, wie zum Beispiel Kerberos, eingesetzt werden. Windows ist für diese Angriffe besonders anfällig, da es über die SSO-Funktion (Single Sign-On) verfügt, die es den Benutzern ermöglicht, das Kennwort einmal einzugeben, um auf alle Ressourcen zuzugreifen. SSO setzt voraus, dass die Anmeldedaten der Benutzer im System zwischengespeichert werden, was den Angreifern den Zugriff erleichtert.

Wie funktioniert ein Pass-the-Hash-Angriff?

Um einen Pass-the-Hash-Angriff auszuführen, beschafft sich der Angreifer zunächst die Hashes des Zielsystems mit Hash-Dumping-Tools. Anschließend verwendet der Angreifer diese Tools, um die erhaltenen Hashes in einem Local Security Authority Subsystem Service (LSASS) zu speichern.

Pass-the-Hack-Angriffe richten sich häufig gegen Windows-Rechner, da die Hashes des New Technology Local Area Network Manager (NTLM) eine Sicherheitslücke aufweisen, sobald der Angreifer Administratorrechte erlangt hat. Bei diesen Angriffen wird ein Windows-basiertes Authentifizierungssystem oft so getäuscht, dass es den Endpunkt des Angreifers für den des rechtmäßigen Benutzers hält und automatisch die erforderlichen Anmeldedaten liefert, wenn der Angreifer versucht, auf das Zielsystem zuzugreifen. Dies alles kann geschehen, ohne dass das ursprüngliche Kennwort benötigt wird.

Die NTLM-Hashes - mathematische Codes mit fester Länge, die von den Passwörtern abgeleitet werden - sind der Schlüssel zum Erfolg der Hash-Angriffe. Sie ermöglichen es dem Angreifer, kompromittierte Domänenkonten zu verwenden, ohne das Klartextkennwort zu extrahieren. Das liegt daran, dass Betriebssysteme wie Windows die Kennwörter der Benutzer niemals über das Netzwerk senden oder speichern. Stattdessen speichern diese Systeme Kennwörter als verschlüsselte NTLM-Hashes, die das Kennwort darstellen, aber nicht zurückverfolgt werden können.

NTLM kann weiterhin anstelle des Kennworts verwendet werden, um auf verschiedene Konten und Ressourcen im Netzwerk zuzugreifen. Damit ein Angreifer auf LSASS zugreifen kann, muss er einen Computer erfolgreich so weit kompromittieren, dass die Malware mit lokalen Administratorrechten ausgeführt werden kann. Dies ist eine der größten Hürden für Pass-the-Hash-Angriffe.

Sobald ein Windows-basierter Rechner kompromittiert ist und die eingesetzte Malware Zugriff auf die lokalen Benutzernamen und NTLM-Hashes erhält, kann der Angreifer wählen, ob er nach weiteren Anmeldedaten sucht oder versucht, mit den Anmeldedaten von Benutzern mit erweiterten Rechten auf Netzwerkressourcen zuzugreifen.

Durch das Sammeln weiterer Benutzeranmeldeinformationen kann ein Angreifer beispielsweise die Anmeldeinformationen von Benutzern abrufen, die entweder über separate Konten auf dem Windows-Computer verfügen - wie etwa ein Dienstkonto - oder als Anmeldeadministrator Fernzugriff auf den Computer haben. Entfernte IT-Administratoren, die sich auf dem kompromittierten Windows-Rechner anmelden, geben ihren Benutzernamen und NTLM-Hash für die nun integrierte Malware preis. Ein Angreifer, der über die Anmeldedaten eines IT-Administrators verfügt, kann sich seitlich durch vernetzte Geräte bewegen.

Seitwärtsbewegungen sind eine wirksame Methode, um nach Benutzern mit erweiterten Rechten zu suchen, z. B. mit administrativen Rechten für geschützte Ressourcen. Eine Privilegienerweiterung kann erreicht werden, indem die Anmeldeinformationen eines Administrators mit erweiterten administrativen Rechten gefunden werden. Beispielsweise könnte ein Angreifer, der den Hash übergeht, die Anmeldedaten des Domänenadministrators durch laterale Bewegung ausfindig machen. Mit ihren erhöhten Rechten können die Hacker Prozesse als Domänenadministrator auf dem Domänencontroller ausführen. Zu diesen erhöhten Ressourcen könnten auch Kundendatenbanken, Quellcode-Verzeichnisse und E-Mail-Server gehören.

Vor Windows 10 gab es nur wenige Hindernisse, die einen Hacker daran hinderten, NTLM-Hashes von einem kompromittierten Windows-Rechner zu erhalten. Windows 10 hat diese Schwachstellen durch eine Sicherheitsfunktion namens Microsoft Windows Defender Credential Guard (WDCG) behoben. Mithilfe einer auf Virtualisierung basierenden Sicherheitstechnologie kann WDCG das LSASS isolieren und nur vertrauenswürdigen, privilegierten Anwendungen den Zugriff auf und die Interaktion mit Daten ermöglichen. Die Virtualisierung des LSASS bedeutet, dass bösartige Anwendungen nicht mehr auf die NTLM-Hashes zugreifen können, selbst wenn sie mit vollen Administratorrechten ausgeführt werden. Auch wenn in späteren Versionen Anstrengungen unternommen wurden, um NTLM-Hashes und das LSASS zu schützen, ist die Weitergabe des Hashes immer noch eine praktikable Methode zum Datenmissbrauch, derer sich Unternehmen bewusst sein sollten.

Schutz vor Pass-the-hash-Angriffen

Um die Gefahr eines Pass-the-Hash-Angriffs zu entschärfen, sollten Unternehmen sicherstellen, dass auf Domänencontroller nur von vertrauenswürdigen Systemen ohne Internetzugang zugegriffen werden kann. Eine Zwei-Faktor-Authentifizierung sollte ebenso durchgesetzt werden wie das Prinzip der geringsten Privilegien. Unternehmen sollten Hosts und Datenverkehr in ihren Netzwerken genau auf verdächtige Aktivitäten überwachen.

Da Pass the Hash die Funktionen und Möglichkeiten des NTLM-Protokolls ausnutzt, kann die Bedrohung durch Pass-the-Hash-Angriffe nicht vollständig beseitigt werden. Sobald ein Angreifer einen Computer kompromittiert hat, ist Pass the Hash nur eine der bösartigen Aktivitäten, die ausgeführt werden können. Leider gibt es viele Möglichkeiten für Hacker, einen Computer aus der Ferne zu kompromittieren - und sie entwickeln sich ständig weiter. Aus diesem Grund können Cybersicherheitsmaßnahmen nicht zu 100 Prozent wirksam sein, und deshalb werden oft mehrere Abwehrtechniken gleichzeitig eingesetzt.

Da nicht alle Pass-the-Hash-Angriffe verhindert werden können, können Unternehmen versuchen, ihre Erkennungsstrategien und ihre Präventivmaßnahmen zu verbessern. Workstation-Protokolle sind eine der gängigsten Methoden, um administrative Aktivitäten zuverlässig zu überwachen. In diesen Protokollen lassen sich sowohl die Zuweisung von Berechtigungen als auch erfolgreiche Anmeldeversuche verfolgen. Zielserverprotokolle und Domänencontrollerprotokolle sind aus denselben Gründen nützlich.

Diese Definition wurde zuletzt im September 2022 aktualisiert

Erfahren Sie mehr über Bedrohungen