Moderne Systeme speichern Passwörter im gehashten Format. Ein Angreifer kann einem System gestohlene Hashes senden, um sich ohne ein Klartext-Passwort in privaten Anwendungen zu authentifizieren. Bei einem PtH-Angriff (Pass-the-Hash) ist es nicht erforderlich, den Hash-Wert auf Plaintext zu setzen. Stattdessen verwendet ein Angreifer die aktuelle Sitzung eines Benutzers oder bezieht Hashes aus dem Speicher, in der Regel von Malware.
Was ist Pass the Hash?
Wenn Passwörter erstellt werden, speichert das Betriebssystem sie unter Verwendung kryptografisch sicherer Hashes im Speicher. Die Datenbank mit Hashes sollte für Benutzerprogramme nicht zugänglich sein, aber Malware ist dafür geschrieben, die Sicherheit zu umgehen und den Speicher für diese Passwörter zu schaben. Nachdem sich ein Benutzer authentifiziert hat, kann das Passwort im Speicher gespeichert werden, sodass sich der Benutzer bei Anwendungen authentifizieren kann, während er auf einem bestimmten Computer arbeitet.
Pass-the-Hash-Angriffe erhalten authentifizierte Benutzer-Hashes und verwenden sie, um Zugriff auf sensible Daten oder Anwendungen im Kontext des Benutzerkontos zu erhalten. PtH-Angriffe geben sich im Wesentlichen als Benutzer aus und nutzen Autorisierungsprotokolle wie Kerberos, die zum Erstellen von Tickets verwendet werden, die autorisierten Benutzern zugewiesen werden. Tickets weisen das System an, den Zugriff zu ermöglichen, sodass ein Angreifer – in der Regel in Form von Malware – mit einem Benutzer-Hash auch Zugriff auf die Zielanwendung hat.
Wie Pass-the-Hash-Angriffe funktionieren
Angreifer müssen zunächst Hashes erhalten. Dies geschieht in der Regel über Malware. Malware kann mithilfe von Drive-by-Downloads oder Phishing an ein Ziel geliefert werden, bei dem hochprivilegierte Benutzer dazu verleitet werden, sie auf ihrem System zu installieren. Idealerweise installiert für den Angreifer ein Benutzer mit Administratorzugriff auf das System die Malware. Die Malware schabt dann den Speicher nach aktiven Benutzerkonten und ihren Hashes ab.
Mit Hashes bewegt sich die Malware dann lateral über das Netzwerk und gibt sich als authentifizierter Benutzer aus. Die meisten PtH-Angriffe funktionieren mit SSO-Systemen (Single Sign-On), bei denen dieselben Benutzeranmeldeinformationen Konten in mehreren Systemen authentifizieren. Das Zielsystem kann zwar Benutzeranmeldeinformationen validieren, aber die gestohlenen Hashes lösen dieses Problem. Malware hat dann Zugriff auf jedes System oder alle Daten als das entsprechende Benutzerkonto des gestohlenen Hashs.
Gemeinsame Ziele und Schwachstellen
Windows-Maschinen sind die häufigsten Ziele für PtH-Angriffe. In Windows ist New Technology LAN Manager (NTLM) ein Microsoft-Sicherheitsprotokoll, das verwendet wird, um Benutzer über mehrere Netzwerkanwendungen hinweg zu autorisieren. NTLM ist anfällig für PtH-Angriffe (Pass-the-Hash), da es Benutzerpasswörter als Hashes ohne Salt speichert, d. h. eine zufällige Zeichenfolge, die einem Passwort hinzugefügt wird, um Brute-Force-Angriffe auf den Hash zu blockieren. Angreifer können diese Hashes leicht von einem kompromittierten System erfassen und sie verwenden, um sich als Benutzer zu authentifizieren, ohne das ursprüngliche Passwort kennen zu müssen, sodass sie den Hash effektiv „passieren“ können, um auf andere Systeme und Ressourcen zuzugreifen, ohne das Passwort selbst knacken zu müssen. Dies macht NTLM zu einem Hauptziel für Angriffe auf Berechtigungsdiebstahl
NTLM ist noch für die Abwärtskompatibilität auf älteren Windows-Betriebssystemen verfügbar, sodass neue Versionen eines Domain-Controllers immer noch anfällig für PtH sein könnten. Jedes Windows-Betriebssystem und jeder Windows-Service ist anfällig für PtH, wenn es Rückwärtskompatibilität mit NTLM verwendet. Im Jahr 2022 wurden Microsoft Exchange-Server durch einen lateralen Wechsel kompromittiert, nachdem Windows-Server durch Malware und PtH kompromittiert wurden.
Auswirkungen von Pass-the-Hash-Angriffen
Ohne Überwachung, Anti-Malware-Software und Intrusion Detection könnte ein PtH-Angriff monatelang anhalten. Die Authentifizierung in lateralen Systemen erfolgt mit legitimen Anmeldedaten, sodass der Angriff unbemerkt bleibt, wenn eine einfache Authentifizierung und Autorisierungsüberwachung vorhanden ist. Die Gesamtauswirkung von PtH hängt von der Autorisierung des Hashs ab.
Ein gestohlener Hash von einem hochprivilegierten Benutzer könnte den Zugriff auf sensible Informationen gewähren und zu einer großen Datenschutzverletzung führen. Malware könnte einem Remote-Angreifer Zugriff auf das lokale System verschaffen oder Daten stehlen und an einen Server eines Drittanbieters senden. Die gestohlenen Daten können zu kostspieligen Compliance-Bußgeldern und Rechtsstreitigkeiten mit zusätzlichen Kosten bei der Eindämmung und Vernichtung der Malware führen.
Präventions- und Minderungsstrategien
Die Beschränkung der Benutzer auf die Daten und Anwendungen, die für die Ausführung ihrer Arbeit erforderlich sind, ist der erste Schritt, um Schäden durch einen PtH-Angriff zu reduzieren. Das Befolgen des Prinzips der geringsten Rechte enthält Malware und verhindert, dass sie auf alle Bereiche der Umgebung zugreift. Benutzer sollten geschult werden, Phishing und potenzielle Malware zu erkennen, um Vorfälle zu reduzieren, die auf böswillige E-Mails und Websites zurückzuführen sind. Die Segmentierungs- und Tiering-Netzwerkarchitektur schützt kritische Systeme davor, durch weniger sichere Systeme beeinträchtigt zu werden.
Systeme zur Erkennung und Überwachung von Eindringlingen sind vorteilhaft, um potenzielle Bedrohungen durch PtH zu erkennen. Wenn Malware auf einem lokalen Computer installiert wird, erkennt die Angriffserkennung verdächtige Verkehrsmuster. Außerdem macht das Deaktivieren von NTLM, wenn es nicht benötigt wird, einige Malware beim Stehlen von Hashes unwirksam.
Tools und Technologien für die Verteidigung
Windows verfügt über einige interne Tools, um einen Pass-the-Hash-Angriff zu verhindern. Credential Guard isoliert Hashes und stellt Hindernisse vor Malware und anderen Speicher-Scrapern. Windows verfügt auch über interne Anti-Malware-Anwendungen, um bekannte Bedrohungen zu erkennen und deren Installation zu verhindern.
Microsoft bietet Local Administrator Password Solution (LAPS) an, um eindeutige Passwörter für Administratoren zu erzwingen. Administratoren, die dasselbe Passwort in der gesamten Netzwerkumgebung verwenden, lassen alle Systeme mit demselben Passwort für einen Kompromiss offen, nachdem ein einziger Hash gestohlen wurde. Durch die Überprüfung der Benutzeranmeldedaten und des Active Directory können Konten mit zu vielen Berechtigungen und möglichem unbefugtem Zugriff identifiziert werden.
Fazit
Die Verhinderung von Malware-Injektion ist der erste Schritt zum Schutz Ihrer Umgebung vor jeder Bedrohung, einschließlich PtH. Stellen Sie sicher, dass Ihre Benutzer sich der Phishing-Gefahren bewusst sind, und informieren Sie Benutzer mit hohen Zugriffsrechten über die Gefahren beim Herunterladen von Software aus unbekannten Quellen. Vermeiden Sie die Verwendung von NTLM, wenn Sie mit Windows arbeiten, aber stellen Sie sicher, dass Sie Anti-Malware-Software installieren, um zu verhindern, dass PtH-Malware Daten stiehlt, wenn Angreifer die Sicherheit umgehen.
Wenn Ihre Umgebung einen PtH-Angriff erleidet, verfügt Pure Storage über Wiederherstellungs- und Resilienzlösungen, die bei der Datenwiederherstellung helfen. Erfahren Sie mehr über SafeMode™-Snapshots und wie sie Ihnen helfen können, Risiken zu mindern.
