Pass-the-Hash-Schwachstellen ernst nehmen

Hacker-Attacken vorbeugen

Eine besondere Form des Missbrauchs von Zugangsdaten und privilegierten Benutzerkonten ist die Pass-the-Hash-Methode. Ohne eine durchgängige Identifizierung und Beseitigung von Schwachstellen sind Unternehmen Angreifern nahezu schutzlos ausgeliefert.

Die Identifizierung der Passwort-Hashes ist die Grundbedingung für die Beseitigung des mit Pass-the-Hash-Attacken verbundenen Sicherheitsrisikos.

Bei Pass-the-Hash-Attacken, zum Beispiel auf Basis eines Phishing-Angriffs, werden die Zugangsdaten von einem Rechner entwendet und für die Authentifizierung an anderen Zugangspunkten in einem Netzwerk eingesetzt. Dabei authentifiziert sich der Angreifer nicht mit einem Klartext-Passwort, sondern mit einem Passwort-Hash, also dem Wert, der beim Speichern eines Passwortes generiert wird. Weil bei einem Pass-the-Hash-Angriff Passwörter in der geschützten Hash-Form eingesetzt werden, kann der Angreifer sich für einen authentifizierten Benutzer ausgeben, ohne das Passwort in Klartextform zu kennen.

Ein Beispiel verdeutlicht die Gefahr: Erlangt etwa ein Angreifer Zugriff auf einen Rechner, an dem ein Domain-Administrator angemeldet war, kann er die Zugangsdaten für diesen Account entwenden und erlangt so Zugriff auf alle Ressourcen, Rechte und Privilegien der entsprechenden Domäne. Auf diese Weise kann er sich schrittweise Zugang zu weiteren Systemen und Diensten im Unternehmen verschaffen. Jeder Rechner, auf dem Hash-Werte gespeichert sind, kann also zum Einfallstor für einen derartigen Angriff auf die wichtigsten und vertraulichsten Systeme, Applikationen und Daten eines Unternehmens werden.

Schwachstellen identifizieren

Grundvoraussetzung für die Unterbindung ist eine Bestandsaufnahme von Accounts und Systemen, die Schwachstellen für solche Angriffe aufweisen. Angesichts der in der Regel hohen Anzahl von gespeicherten Passwort-Hashes ist hier eine manuelle Vorgehensweise weniger zielführend. Es empfiehlt sich vielmehr der Einsatz einer Lösung wie beispielsweise Cyber Ark sie anbiete, die ein automatisches Aufspüren der Rechner, auf denen privilegierte Passwort-Hashes gespeichert sind, ermöglicht.

Die Identifizierung der Passwort-Hashes ist die Grundbedingung für die Beseitigung des mit Pass-the-Hash-Attacken verbundenen Sicherheitsrisikos. Doch welche Maßnahmen sollten anschließend ergriffen werden? Mit drei einfachen Lösungsansätzen ist ein Unternehmen bereits auf der sicheren Seite:

Nutzung dedizierter Aministrationskonten
Eine der Gegenmaßnahmen zur Vermeidung der großflächigen Verteilung von Passwort-Hashes auf Servern und Clients ist es, zweckbezogen dedizierte Administrationskonten zu nutzen. So dürfen beim Zugriff auf einen Domain Controller nur wenige ausgesuchte Accounts von definierten Arbeitsstationen verwendet werden. Dies gilt analog für den Zugriff auf Server und Workstations, für die ebenfalls dedizierte Administrationskonten – im Idealfall sogar lokale Administrationskonten – verwendet werden. Diese dedizierten Accounts können durchaus „Shared Accounts“ sein, die dann in einer weiter höheren Frequenz Passwortwechseln unterzogen werden. Die Zuordnung einer Person zur Nutzung eines Shared Accounts kann über eine leistungsfähige Privileged Account Security Lösung erfolgen.

Regelmäßige Passwort-Änderung
Es empfiehlt sich, privilegierte Passwörter relativ oft zu ändern. Damit wird das „Zeitfenster“ für einen potentiellen Missbrauch von Hash-Werten reduziert. Außerdem sollten auch Einmal-Passwörter für unternehmenskritische privilegierte Benutzerkonten genutzt werden. 

Umsetzung einer Least-Privilege-Sicherheitsstrategie
Es sollte auch die Möglichkeit bestehen, granulare Berechtigungen für administrative Tätigkeiten festzulegen, das heißt, administrative Privilegien durch die Aktivierung von Rechten auf Anfrage zu reduzieren. Durch die kontrollierte Vergabe von Superuser-Privilegien können Administratoren ihre weitreichenden Rechte nur noch dann ausüben, wenn es erforderlich ist. Dazu gehört beispielsweise auch, dass Domänen-Admin-Rechte nur dann genutzt werden können, wenn an den Domain-Controllern gearbeitet wird, und nicht generell. Das reduziert die Gefahr eines Missbrauchs von Hash-Werten, da die Benutzer nur noch geringere administrative Rechte haben.

Pass-the-Hash-Angriffe sind vom Konzept her nicht neu, stellen heute aber immer noch eine ernstzunehmende Bedrohung für Unternehmen, da diese Methode den Zugriff auf vertrauliche Informationen ermöglicht. Erschwerend kommt hinzu, dass sie es Angreifern erlaubt, sich unentdeckt im Netzwerk zu bewegen. Unternehmen sollten sich dieser Bedrohung stellen und auf Basis der Ermittlung aller Passwort-Hashes geeignete Sicherheitsmaßnahmen treffen.

Bildquelle: Thinkstock/ iStock



©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok