Daniel Petri

In der sich ständig weiterentwickelnden Landschaft der Cyber-Bedrohungen ist der Angriff Overpass the Hash ein wirkungsvoller Vektor. Dieser Angriff nutzt das NTLM-Authentifizierungsprotokoll und ermöglicht es Angreifern, die Notwendigkeit von Klartextpasswörtern zu umgehen. Stattdessen nutzt ein Overpass the Hash-Angriff den Hash eines Benutzers, um sich zu authentifizieren und potenziell seine Privilegien zu erweitern.

Da Unternehmen mit den Herausforderungen bei der Sicherung ihrer Active Directory-Infrastrukturen zu kämpfen haben, ist das Verständnis und die Abwehr dieser Arten von Angriffen zu einem wichtigen Schwerpunkt für IT-Sicherheitsexperten und Administratoren geworden.

Weiterführende Lektüre: Die besten Strategien zur Absicherung von Active Directory

Was ist ein Overpass the Hash-Angriff?

Der Overpass the Hash-Angriff ist eine Post-Exploitation-Technik, bei der ein Angreifer einen erbeuteten NTLM-Hash verwendet, um sich bei einem Dienst oder Server innerhalb einer Active Directory-Domäne zu authentifizieren. Im Gegensatz zu herkömmlichen Pass the Hash-Angriffen, die innerhalb derselben Authentifizierungssitzung fortgesetzt werden, wird bei Overpass the Hash-Angriffen der gestohlene Hash verwendet, um eine vollständig authentifizierte Sitzung zu erstellen, in der der Angreifer neue Kerberos-Tickets erhalten kann. Dieser subtile, aber wirkungsvolle Unterschied ermöglicht es dem Angreifer, auf Ressourcen zuzugreifen, als ob er das Kennwort des Benutzers hätte, und so die Notwendigkeit, es auf anderem Wege zu erlangen, zu umgehen.

Wie funktioniert ein Overpass the Hash-Angriff?

Der Angriff Overpass the Hash beginnt damit, dass ein Angreifer den NTLM-Hash eines Benutzers erlangt. Dieser Hash repräsentiert das Passwort des Benutzers, das durch den NTLM-Hashing-Algorithmus verarbeitet wurde. Angreifer erlangen den Hash in der Regel, indem sie Schwachstellen auf dem Rechner eines Benutzers ausnutzen oder durch Social-Engineering-Taktiken.

Nachdem der Angreifer den NTLM-Hash erworben hat, verwendet er ein Tool wie Mimikatz , um den Hash in seinen eigenen Sicherheitskontext zu injizieren. Dieser Schritt ermöglicht es dem Angreifer, die gestohlenen Anmeldedaten zu verwenden, um die Windows-API aufzurufen. Dieser Schritt ist kritisch. Der Versuch, über den kompromittierten Rechner auf Ressourcen zuzugreifen, könnte Alarme auslösen. Stattdessen verwendet der Angreifer den Hash, um sich von seinem eigenen Gerät oder einem kontrollierten Rechner innerhalb des Netzwerks aus zu authentifizieren.

Als nächstes interagiert der Angreifer mit dem Active Directory-Domänencontroller (DC) und gibt den gestohlenen Hash während des NTLM-Authentifizierungsprozesses vor. Hier verwendet der Angreifer den Hash ähnlich wie ein Passwort. Der DC, der den Hash nicht von einer legitimen Anmeldung unterscheiden kann, authentifiziert die Sitzung und stellt ein Kerberos Ticket Granting Ticket (TGT) aus. Dieses TGT, das mit den geheimen Schlüsseln des krbtgt-Kontos der Domäne verschlüsselt ist, kann nur vom DC entschlüsselt werden; der Angreifer braucht das TGT nicht zu entschlüsseln.

In der letzten Phase verwendet der Angreifer das erhaltene TGT, um Service-Tickets von der DC anzufordern. Diese Tickets gewähren dem Angreifer Zugang zu verschiedenen Diensten innerhalb der Domäne. Dieser Prozess, der oft als TGS-REQ Kerberos-Nachricht bezeichnet wird, ist Teil des Standard-Kerberos-Protokolls, das für den Zugriff auf Ressourcen innerhalb einer Active Directory-Domäne verwendet wird. Der DC, der glaubt, das TGT rechtmäßig erhalten zu haben, sendet Servicetickets zurück, die der Angreifer verwenden kann, um auf Ressourcen zuzugreifen, sich bei anderen Rechnern zu authentifizieren oder Aktionen im Netzwerk durchzuführen, während er sich als der kompromittierte Benutzer ausgibt.

Das besonders Heimtückische am Angriff Overpass the Hash ist die Möglichkeit, Service-Tickets für bestimmte Dienste oder Rechner innerhalb der Domäne anzufordern. Der Angriff ermöglicht es dem Angreifer somit, auf hochwertige Vermögenswerte oder Datenbestände abzuzielen. Service-Tickets können eine relativ lange Lebensdauer haben und erneuert werden, so dass der Angreifer über einen dauerhaften Mechanismus verfügt, um auf Ressourcen zuzugreifen, bis das Passwort des Benutzers geändert oder der Angriff abgeschwächt wird.

Welche Risiken sind mit einem Overpass the Hash-Angriff verbunden?

Das Hauptrisiko eines Overpass the Hash-Angriffs besteht darin, dass er Angreifern unbefugten Zugriff auf Netzwerkressourcen und sensible Daten verschafft. Der Angriff erleichtert auch seitliche Bewegungen innerhalb des Netzwerks und kann zu einer Privilegienerweiterung führen, wenn das kompromittierte Konto über administrative Rechte verfügt. Da der Angriff legitime Authentifizierungsmechanismen ausnutzt, kann er schwer zu entdecken sein und Angreifern dauerhaften Zugang verschaffen.

Wie bei vielen anderen Angriffen sind Umgebungen, die NTLM zur Authentifizierung verwenden, anfällig für Overpass-the-Hash-Angriffe. Aber wenn Sie 50 Active Directory-Administratoren in einem Raum fragen, ob sie die NTLM-Authentifizierung in ihrer Active Directory-Umgebung abgeschafft haben, wird vielleicht einer die Hand heben. Die Verwendung von NTLM wird aus mehreren Gründen beibehalten:

  • Abwärtskompatibilität
  • Unterstützung von Legacy-Anwendungen
  • Mangelndes Bewusstsein oder fehlende Ressourcen für den Übergang zu sichereren Protokollen

Ältere Anwendungen, die nicht für die Verwendung moderner Authentifizierungsmethoden aktualisiert wurden, können beispielsweise NTLM erfordern. Bestimmte an das Netzwerk angeschlossene Speichergeräte oder ältere Versionen von Windows-basierten Diensten verwenden standardmäßig NTLM. Und einige Konfigurationen von Microsoft Internet Information Services (IIS) nutzen NTLM, wenn sie auf die Verwendung der Windows-Authentifizierung eingestellt sind, wenn das sicherere Kerberos-Protokoll nicht ordnungsgemäß konfiguriert ist oder wenn Clients es nicht unterstützen. Ältere Versionen von SQL Server und anderen Datenbankdiensten können so konfiguriert werden, dass sie Benutzer mit NTLM authentifizieren, insbesondere bei Verbindungen von Systemen, die nicht mit einer Domäne verbunden sind, oder in einer Arbeitsgruppenumgebung. Selbst die Verwendung der IP-Adresse einer Ressource anstelle ihres Hostnamens kann dazu führen, dass das System standardmäßig NTLM für die Authentifizierung verwendet.

Außerdem verwenden Anwendungen von Drittanbietern - insbesondere solche, die für plattformübergreifende Kompatibilität entwickelt wurden - möglicherweise NTLM, wenn sie mit Windows-Systemen zusammenarbeiten. Dies ist häufig bei verschiedenen Tools für die Zusammenarbeit und die Dokumentenverwaltung der Fall, die in die Windows-Dateifreigabe oder ältere Webanwendungen integriert werden müssen. In einigen Fällen können Netzwerk-Appliances wie VPN-Konzentratoren oder Gateways, die Benutzer gegenüber Active Directory authentifizieren müssen, NTLM verwenden, wenn sie nicht vollständig in Kerberos integriert sind.

Die Produkte, Geräte, Dienste oder Anwendungen, die sich auf NTLM stützen, machen eine Umgebung nicht per se anfällig für Overpass the Hash-Angriffe. Sie vergrößern jedoch die Angriffsfläche. Die Kombination aus fortgesetzter NTLM-Nutzung und unzureichenden Sicherheitskontrollen schafft die Schwachstelle, die Overpass the Hash-Angriffe ausnutzen. Die Umstellung von NTLM auf Kerberos oder die Anwendung zusätzlicher Sicherheitsmaßnahmen (z.B. SMB-Signierung) kann das Risiko erheblich mindern.

Wie können Sie einen Overpass the Hash-Angriff erkennen?

Zur Erkennung eines Overpass the Hash-Angriffs gehört die Überwachung ungewöhnlicher Muster von Authentifizierungs- und Ticketanfragen innerhalb der Active Directory-Umgebung. Sicherheitsexperten sollten die Protokollierung und Alarmierung für Anomalien konfigurieren, einschließlich:

  • Ungewöhnliche Anmeldezeiten
  • Anmeldungen von untypischen Orten
  • Service-Ticket-Anfragen, die nicht dem normalen Benutzerverhalten entsprechen

Moderne SIEM-Systeme (Security Information and Event Management) können bei der Korrelation von Ereignissen und der Erkennung potenzieller Angriffe helfen. Einige ernstzunehmende Angriffe sind jedoch so konzipiert, dass sie sich der ereignis- und protokollbasierten Überwachung entziehen.

Unternehmen sollten auch auf die Verwendung unerwarteter NTLM-Authentifizierungen achten. Moderne Umgebungen bevorzugen oft Kerberos, wodurch die Verwendung von NTLM auffällt. Bei dieser Art von Angriff macht die Analyse des Benutzerverhaltens wirklich einen Unterschied.

Wie können Sie einen Overpass the Hash-Angriff entschärfen?

Die Entschärfung eines Overpass the Hash-Angriffs erfordert einen vielschichtigen Ansatz.

  • Minimieren Sie die Verwendung der NTLM-Authentifizierung und verwenden Sie stattdessen Kerberos, wo immer dies möglich ist.
  • Implementieren Sie strenge Passwortrichtlinien und vermeiden Sie die Verwendung der gleichen Passwörter für verschiedene Konten, um die Auswirkungen von Hash-Diebstahl zu verringern.
  • Segmentieren Sie das Netzwerk, um seitliche Bewegungen zu verhindern.
  • Implementieren Sie Richtlinien zur Kontosperrung, um Brute-Force-Versuche zu verhindern.
  • Aktivieren Sie Credential Guard unter Windows 10 und Windows Server 2016 und höher, um die Extraktion von Klartextpasswörtern und NTLM-Hashes aus dem Speicher zu verhindern.

Darüber hinaus sollten Active Directory-Administratoren Maßnahmen zum Schutz vor Overpass the Hash-Angriffen ergreifen:

  • Deaktivieren Sie die NTLM-Authentifizierung auf Systemen, auf denen sie nicht erforderlich ist, und erzwingen Sie die Verwendung von Kerberos.
  • Stellen Sie sicher, dass die Local Administrator Password Solution (LAPS) implementiert ist, um eindeutige lokale Administratorpasswörter zu verwalten.
  • Konfigurieren Sie die Gruppenrichtlinie, um die Speicherung von NTLM-Hashes zu verhindern und den NTLM-Datenverkehr zu beschränken.
  • Setzen Sie fortschrittliche Prüfungs- und Überwachungsstrategien ein, um die anomale Verwendung von NTLM und das Vorhandensein von Overpass the Hash-Tools zu erkennen.
  • Schulen Sie Ihre Benutzer darin, Phishing-Versuche zu erkennen und ihre Anmeldedaten zu schützen.
  • Halten Sie Ihre Systeme gepatcht und auf dem neuesten Stand, um die Schwachstellen, die zum Diebstahl von Zugangsdaten führen können, zu verringern.

Verteidigen Sie sich gegen Angriffe, die sich als Benutzer ausgeben

Der Angriff Overpass the Hash stellt eine erhebliche Bedrohung für Active Directory-Umgebungen dar. Er nutzt das NTLM-Protokoll aus, um sich als legitime Benutzer auszugeben. Durch die Ausnutzung gestohlener Hash-Werte können sich Angreifer unbefugten Zugriff verschaffen und die Integrität und Vertraulichkeit von Unternehmensressourcen gefährden. Wachsamkeit und proaktive Abwehrmaßnahmen sind unerlässlich, um die mit diesem Angriffsvektor verbundenen Risiken zu mindern.

Da Cyber-Angreifer ihre Taktiken ständig weiterentwickeln, ist die Absicherung Ihrer Active Directory-Umgebung gegen Angriffe wie Overpass the Hash unerlässlich geworden. Administratoren können solche Angriffe vereiteln, indem sie ihre Systeme vor unbefugtem Zugriff schützen und die Vertrauenswürdigkeit ihrer Authentifizierungsmechanismen durch proaktive Maßnahmen aufrechterhalten, darunter:

Der Schutz von hybriden Active Directory-Umgebungen ist ein kontinuierlicher Prozess. Um Bedrohungen wie Overpass the Hash einen Schritt voraus zu sein, müssen Sie sich für bewährte Sicherheitsverfahren einsetzen und im gesamten Unternehmen eine Kultur des Bewusstseins schaffen.