Daniel Petri

Viele Active Directory-Angriffe beginnen mit einem gestohlenen Passwort. Ein Pass the Hash-Angriff verfolgt jedoch einen anderen Ansatz. Bei diesem Beispiel für den Diebstahl von Anmeldeinformationen stehlen die Angreifer stattdessen den Passwort-Hash eines Benutzers. Der Angriff ist schwer zu erkennen und kann zu einer Eskalation der Rechte und zu ernsthaften Schäden für Ihr Unternehmen führen.

Weiterführende Lektüre: Best Practices für Active Directory-Sicherheit

Was ist ein Pass the Hash-Angriff?

Der Pass the Hash-Angriff ist in Windows-Umgebungen weit verbreitet. Der Angriff nutzt den Authentifizierungsmechanismus des Windows-Betriebssystems aus.

Windows versucht, die Speicherung von Klartextpasswörtern zu vermeiden, indem es NTLM-Hashes von Benutzerpasswörtern aufbewahrt. Während des Authentifizierungsprozesses vergleicht Windows diese Hashes, anstatt Klartextkennwörter zu vergleichen. Der Pass the Hash-Angriff macht sich diesen Mechanismus zunutze.

Anstatt Passwörter im Klartext zu stehlen und zu verwenden, konzentrieren sich die Angreifer darauf, die Hashes zu erlangen und zu verwenden, um sich bei verschiedenen Netzwerkressourcen zu authentifizieren. Der Pass the Hash-Angriff ist heimlich und hocheffizient.

Was ist ein Passwort-Hash?

Ein Passwort-Hash ist ein kryptographischer Einwegprozess. Bei diesem Verfahren wird ein Klartext-Passwort durch eine mathematische Funktion (d.h. eine Hash-Funktion) geleitet, um eine Bytefolge fester Größe zu erzeugen, die als Hash-Wert (oder einfach Hash) bezeichnet wird. Dieser Hashwert wird dann mit dem gespeicherten Hashwert des Kennworts des Benutzers verglichen. Wenn die beiden übereinstimmen, wird die Authentifizierung gewährt. Da es nicht möglich ist, das ursprüngliche Kennwort aus einem Hashwert zu ermitteln, ist dies eine gute Möglichkeit, Kennwörter in einer Datenbank zu speichern (z.B. in der Active Directory-Datenbank NTDS.DIT).

Wie funktioniert ein Pass the Hash-Angriff?

Bei einem Pass the Hash-Angriff verschafft sich ein Angreifer zunächst Zugriff auf den Hash eines Benutzers, indem er den Inhalt der SAM-Datenbank des Systems oder des Speichers mit Hilfe von Tools wie Mimikatz ausspäht. Der Angreifer kann dann den Hash wiederverwenden, um sich bei anderen Diensten oder Rechnern im Netzwerk zu authentifizieren und so die Notwendigkeit eines Passworts zu umgehen.

Hier finden Sie eine schrittweise Aufschlüsselung des Pass the Hash-Angriffsprozesses:

  1. Erste Kompromittierung. Ein Angreifer verschafft sich zunächst Zugang zu einem System in Ihrem Netzwerk. Dabei können verschiedene Methoden zum Einsatz kommen, darunter Phishing, das Ausnutzen von Schwachstellen oder sogar physischer Zugriff.
  2. Hash-Extraktion. Sobald der Angreifer Fuß gefasst hat, verwendet er ein Tool wie Mimikatz, um Hashes aus dem System zu extrahieren. Diese Hashes können sich im Arbeitsspeicher (RAM) oder in der Security Account Manager (SAM)-Datenbank befinden, je nach Anmeldestatus des Benutzers und der Zugriffsstufe des Angreifers.
  3. Weitergabe des Hashes. Mit einem oder mehreren Hashes im Besitz kann der Angreifer nun einen Hash zur Authentifizierung verwenden. Der Angreifer verwendet ein Tool wie PsExec (oder sogar integrierte Windows-Tools), um den Hash als Identitätsnachweis zu präsentieren und auf entfernte Systeme zuzugreifen. Daher stammt auch der Name Pass the Hash.
  4. Seitliche Bewegung. Mithilfe des erlangten Hashes versucht der Angreifer, sich seitlich in Ihrem Netzwerk zu bewegen. Der Angreifer verwendet den Hash, um auf andere Systeme zuzugreifen, um erhöhte Privilegien oder wertvolle Daten zu erlangen. Wenn Benutzer übermäßig viele Privilegien haben oder wenn dieselben Anmeldeinformationen für mehrere Systeme verwendet werden, ist eine seitliche Bewegung viel einfacher zu erreichen - und viel gefährlicher für Ihr Unternehmen.
  5. Privilegienerweiterung. Oft setzt der Angreifer die Pass the Hash-Technik wiederholt ein. Er springt von einem Rechner zum anderen, bis er ein Konto mit höheren Privilegien findet, z. B. einen Domänenadministrator.
  6. Endgültiges Ziel. Nachdem der Angreifer eine ausreichende Erhöhung der Privilegien und des Zugriffs erreicht hat, kann er sein ultimatives Ziel verfolgen. Ihr Ziel könnte der Datendiebstahl, der Einsatz von Ransomware oder die Aufrechterhaltung einer dauerhaften Präsenz für zukünftige Angriffe sein.

Der Erfolg der Pass the Hash-Technik hängt von mehreren entscheidenden Aspekten ab:

  • Windows' inhärentes Vertrauen auf den Hash-Vergleich zur Authentifizierung
  • Häufige Fehlkonfigurationen
  • Laxe Sicherheitspraktiken, wie z.B. die Gewährung von lokalen Administratorrechten für mehrere Computer oder die Wiederverwendung von Passwörtern im gesamten Unternehmen.

Welche Risiken sind mit einem Pass the Hash-Angriff verbunden?

Diese Art von Angriff kann Ihr Unternehmen auf verschiedene Weise bedrohen:

  • Wiederverwendung von Anmeldedaten: Wenn ein Angreifer den Hash eines Kontos kompromittiert, das dieselben Anmeldedaten für mehrere Dienste verwendet, kann der Angreifer Zugang zu all diesen Diensten erhalten.
  • Seitliche Bewegung: Sobald sie in Ihr Netzwerk eingedrungen sind, können Angreifer Pass the Hash nutzen, um sich seitlich im Netzwerk zu bewegen, auf andere Rechner zuzugreifen und ihre Privilegien zu erweitern.
  • Langfristiger Zugang: Mit dem Hash können Angreifer einen dauerhaften Zugang zu einem kompromittierten Netzwerk aufrechterhalten, was die Entdeckung und Beseitigung erschwert.

Windows-basierte Netzwerke sind besonders anfällig, insbesondere Netzwerke, die:

Wie können Sie einen Pass the Hash-Angriff erkennen?

Um einen Pass the Hash-Angriff zu erkennen, müssen Sie ungewöhnliche Verhaltensmuster oder Aktivitäten im Netzwerk identifizieren. Überwachen Sie Active Directory auf diese Arten von Aktivitäten:

  • Anomale Anmeldemuster. Achten Sie auf ungewöhnliche Anmeldemuster, wie z.B. Anmeldungen zu ungewöhnlichen Zeiten oder von ungewöhnlichen Orten aus. Achten Sie auch auf schnelle Anmeldungen von einer Quelle bei mehreren Systemen.
  • Ungewöhnliche Erstellung von Diensten. Bei einem Pass the Hash-Angriff werden möglicherweise mithilfe von Tools wie PsExec Dienste auf entfernten Systemen erstellt. Daher kann das Aufspüren unerwarteter Service-Erstellungen ein guter Indikator für diesen Angriff sein.
  • Speicherauslese. Tools wie Mimikatz durchsuchen den Speicher nach Hashes. Überwachen Sie Prozesse, die große Teile des Speichers lesen, insbesondere von lsass.exe.
  • Volumen der Authentifizierungsanfragen. Ein Anstieg der Authentifizierungsanfragen innerhalb einer kurzen Zeitspanne kann auf einen Pass the Hash-Versuch hinweisen, insbesondere wenn viele Anfragen fehlschlagen und dann plötzlich erfolgreich sind.

Moderne Endpoint Detection and Response (EDR)-Lösungen können auch dabei helfen, Verhaltensmuster zu verfolgen und verdächtige Aktivitäten zu erkennen, die oft mit Pass the Hash-Angriffstechniken in Verbindung stehen.

Wie können Sie sich gegen einen Pass the Hast-Angriff verteidigen?

Die Entschärfung eines Pass the Hash-Angriffs hängt davon ab, ob es dem Angreifer möglich ist, Hashes zu erhalten und zu verwenden. Hier sind sechs Schritte, die Sie unternehmen können.

  1. Verwenden Sie administrative Tiering. Administratoren von hoch privilegierten Konten der Stufe 0 wie Active Directory sollten sich niemals bei Ressourcen der Stufe 1 (Server und Anwendungen) oder Stufe 2 (Endbenutzer-Workstations) anmelden. Die Verhinderung eines solchen Verhaltens kann das Risiko verringern, dass Angreifer die Anmeldedaten von Administratoren ausspähen.
  2. Isolieren Sie Systeme. Stellen Sie sicher, dass sich kritische Systeme in isolierten Netzwerken befinden. Ein Angreifer mit einem Hash von einem weniger kritischen System sollte nicht in der Lage sein, auf ein kritischeres System zuzugreifen.
  3. Implementieren Sie Microsoft Local Administrator Password Solution (LAPS). LAPS sorgt für eindeutige Kennwörter für lokale Administratorkonten im gesamten Unternehmen.
  4. Wenden Sie das Prinzip der geringsten Privilegien an. Gewähren Sie Benutzern nur die Berechtigungen, die sie für die Ausführung ihrer täglichen Aufgaben benötigen. Vermeiden Sie es zum Beispiel, jeden Benutzer zu einem lokalen Administrator auf seinem Rechner zu machen.
  5. Installieren Sie Credential Guard. Auf Windows 10 und Windows Server 2016 und neueren Systemen schützen Sie sich mit Credential Guard vor einem Pass the Hash-Angriff, indem Sie den Prozess der Speicherung von Anmeldeinformationen isolieren und abhärten.
  6. Schränken Sie die Verwendung von Legacy-Protokollen ein. Deaktivieren Sie ältere Authentifizierungsprotokolle, die anfälliger für einen Pass the Hash-Angriff sein könnten. Stellen Sie zum Beispiel von NTLM auf Kerberos-Authentifizierung um.

Eine weitere wichtige Verteidigungstaktik: Sorgen Sie für eine starke Active Directory-Sicherheitslage. Hier sind 10 Schritte speziell für Active Directory-Administratoren.

  1. Überprüfen Sie Active Directory regelmäßig. Überwachen Sie Active Directory auf Anzeichen von ungewöhnlichen oder nicht autorisierten Aktivitäten. Überprüfen Sie Active Directory regelmäßig auf veraltete oder ungenutzte Konten und entfernen oder deaktivieren Sie diese.
  2. Implementieren Sie eine mehrstufige Authentifizierung (MFA). Insbesondere für privilegierte Konten bietet MFA eine zusätzliche Sicherheitsebene. Achten Sie jedoch darauf, dass Sie auch auf Sicherheitsindikatoren achten, die auf MFA-Müdigkeitsattacken hinweisen könnten.
  3. Überwachen Sie Änderungen der Gruppenmitgliedschaft. Verfolgen Sie Änderungen an sensiblen Active Directory-Gruppen, wie z.B. Domain Admins. Unerwartete Änderungen sollten ein rotes Tuch sein. Die Automatisierung von Audits und Abhilfemaßnahmen kann Ihnen helfen, raffinierten und heimlichen Angriffen einen Schritt voraus zu sein.
  4. Sicherheits-Baselines anwenden. Implementieren Sie Microsoft Sicherheits-Baselines für Active Directory und Gruppenrichtlinien.
  5. Halten Sie Ihre Systeme auf dem neuesten Stand. Sorgen Sie dafür, dass Ihre Systeme und Software rechtzeitig gepatcht werden.
  6. Trennen Sie Verwaltungsaufgaben. Verwenden Sie separate Konten für verschiedene administrative Aufgaben und vermeiden Sie Überschneidungen. Verwenden Sie beispielsweise verschiedene Konten für Aufgaben des Domänenadministrators, für Aufgaben des Workstation-Administrators und so weiter.
  7. Vermeiden Sie die Verwendung gemeinsamer Konten. Gemeinsame Konten erschweren die Rückverfolgung von Aktionen zu einer Person. Jeder Administrator sollte ein eigenes Konto haben.
  8. Admin-Anmeldung einschränken. Schränken Sie in Verbindung mit der administrativen Abstufung ein, wo und wann sich administrative Konten anmelden können. Beispielsweise sollten sich Domänenadministrator-Konten nur bei Domänencontrollern anmelden.
  9. Machen Sie regelmäßig AD-spezifische Backups. Sorgen Sie für regelmäßige Backups von Domänencontrollern und erstellen Sie einen Wiederherstellungsplan. Getrennte Active Directory-Backups können Ihnen helfen, die Wiedereinschleppung von Malware zu vermeiden.
  10. Informieren und schulen Sie Mitarbeiter und Benutzer. Informieren Sie Ihr IT-Team kontinuierlich über die neuesten Bedrohungen und wie man sie erkennt und darauf reagiert. Informieren Sie die Benutzer über die Risiken, die mit Angriffen wie Pass the Hash verbunden sind, und über die Sicherheitsrichtlinien und -praktiken Ihres Unternehmens.

Verteidigen Sie sich gegen Angriffe zum Diebstahl von Zugangsdaten

Der Pass the Hash-Angriff stellt für viele Unternehmen eine große Herausforderung dar. Indem sie die inhärente Art und Weise ausnutzen, wie Windows die Authentifizierung handhabt, können Angreifer die Notwendigkeit von Klartext-Passwörtern umgehen und sich unbefugten Zugang zu mehreren Systemen verschaffen. Wenn Sicherheitsexperten und IT-Fachleute die Feinheiten dieser Angriffe verstehen, können sie ihre Abwehr stärken und ihre Netzwerke angesichts der sich entwickelnden Herausforderungen widerstandsfähiger machen.

Richtig konfigurierte Systeme, Benutzerschulung und Wachsamkeit bei der Überwachung von Endgeräten und Active Directory können dazu beitragen, die mit diesem Angriff verbundenen Risiken zu minimieren. Beginnen Sie damit, bewährte Verfahren für die Sicherheit von Active Directory zu befolgen.