So lassen sich Pass-the-Hash-Attacken vermeiden

SicherheitSicherheitsmanagement
(BIld: Shutterstock)

Pass-the-Hash-Attacken erlauben einem Hacker, sich an entfernten Servern anzumelden, ohne die eigentlichen Passwörter zu kennen. Im Expertenbeitrag für ITespresso erklärt Max Waldherr, Pre-Sales Manager und IAM-Experte bei Dell Software, wie sich solche Attacken unterbinden lassen.

Jedes System, das die Microsoft-eigenen Sicherheitsprotokolle LAN-Manager (LM) und NT-LAN-Manager (NTLM) nutzt, ist durch Pass-the-Hash-Attacken verwundbar. Ein Hacker, der in einen Zielrechner eingedrungen ist und Administrator-Rechte erlangt hat, kann von dort aus auf Hashwerte von Passwörtern zugreifen, die in einer Authentifizierungsdatenbank oder im Arbeitsspeicher hinterlegt sind.

Max Waldherr, der Autor dieses Expertenbeitrags für ITespresso, ist Pre-Sales Manager und IAM-Experte bei Dell Software (Bild: Dell).
Max Waldherr, der Autor dieses Expertenbeitrags für ITespresso, ist Pre-Sales Manager und IAM-Experte bei Dell Software (Bild: Dell).

Auch ohne die eigentlichen Klartext-Passwörter ist er damit in der Lage, sich mit allen entsprechenden Rechten an Servern sowie oft auch in Anwendungen anzumelden und im Zweifel unternehmenskritische Daten auszulesen oder zu korrumpieren. Ohne Administrator-Rechte auf dem Zielrechner ist diese Vorgehensweise aber nicht möglich; zumindest sind keine solchen Fälle bekannt. Zahlreiche Exploits und laufende Applikationen in Windows können für Pass-the-Hash-Attacken genutzt werden. Allerdings sind solche Angriffe auch bei allen anderen, etwa Unix- oder Linux-basierten Betriebssystemen möglich.

Typischerweise nutzen Hacker Social-Engineering-Methoden oder soziale Manipulation, um eine Zielperson dazu zu bringen, einen Trojaner oder andere Schadsoftware auf einem Unternehmensrechner zu installieren – natürlich im Hintergrund und ohne dass sie sich dessen bewusst ist. Ist die Zielperson ein Mitglied der lokalen Administratoren-Gruppe, hat der Angreifer Zugriff auf die lokale SAM-Authentifizierungsdatenbank und kann die Hashwerte der lokalen Account-Namen und Passwörter auslesen. Es gibt auch eine Reihe von Tools, die diese Arbeit erledigen.

Mit diesen Hashwerten versuchen Hacker dann, weitere Systeme im Netz anzugreifen. Bevorzugtes Ziel sind natürlich Hashwerte von Domain-Administratoren oder privilegierte Accounts, die Zugriff auf Active Directory Domain Controller haben. Damit können sämtliche Log-in- und Passwort-Hashwerte des Netzwerkes ausgelesen werden.

Wie kann man Pass-the-Hash-Attacken unterbinden?

Pass-the-Hash-Attacken sind besonders heimtückisch, weil sie lange unentdeckt bleiben können. Deshalb gilt es, sie in einer umfassenden IT-Sicherheitsstrategie mit einzubeziehen. Die wichtigsten operativen Vorsichtsmaßnahmen sind im Überblick:

1. Sicherheitsprotokolle aktualisieren

Beim Microsoft LAN Manager und dem NT LAN Manager handelt es sich um veraltete Protokolle, die allerdings noch oft benutzt werden. Wichtig ist daher eine Aktualisierung auf NTML Version 2. Die Sicherheit verbessert sich dadurch spürbar.

2. Einem normalen Account niemals Admin-Rechte einräumen

Auch Administratoren sollten sich die Mühe machen, einen normalen Account für Alltagsarbeiten zu nutzen und die privilegierten Accounts nur dann zu verwenden, wenn sie wirklich benötigt werden. Im Zweifel heißt das, sich mehrmals am Tag an- und abzumelden; das ist der Preis für eine deutlich erhöhte Sicherheit.

3. Ein getrenntes System für Admin-Arbeiten nutzen

Ein eigener Rechner für den privilegierten Betrieb sollte stets auf dem neuesten technischen Stand sein, die letzten Betriebssystem-Versionen und alle notwendigen Patches eingespielt haben, strengen Sicherheits-Richtlinien genügen und Ethernet-Kabel statt WLAN-Zugang nutzen. Das sind einige der Maßnahmen, die das System erheblich sicherer machen.

4. Keine E-Mail-Accounts für Administratoren einrichten

E-Mails sind Scheunentore für Angriffe jeder Art, vor allem für Trojaner und Malware, die Pass-the-Hash-Attacken überhaupt erst möglich machen. Es muss sichergestellt sein, dass kein Administrator-Account über ein Exchange- oder sonstiges E-Mail-Konto verfügt.

5. Für privilegierte Accounts stets ein besonders starkes Passwort nutzen

Ein Passwort mit mindestens 15 Zeichen und Sonderzeichen sollte verwendet werden, da Windows ab dieser Länge einen LM-Hashwert speichert, der nicht für die User-Authentifizierung genutzt werden kann. Auch sollte das Passwort für diese Accounts häufiger erneuert werden.

6. Speichern des LM-Hashwerts verhindern

Die Speicherung des LM-Hashwerts in lokalen oder Active-Directory-Datenbanken kann verhindert werden, indem die NoLMHash-Richtlinien implementiert werden. Weitere Informationen sind auf dieser Webseite von Microsoft nachzulesen: http://support.microsoft.com/kb/299656/en-us

7. Zahl der privilegierten Accounts reduzieren

Je weniger User Adminrechte haben, desto geringer sind die Angriffschancen. Zeitgleich sollte auch die Anzahl der Rechner, die von Admins genutzt werden, möglichst klein gehalten werden.

8. Rollen-basierte Delegation nutzen

Nicht jeder Administrator muss über alle Rechte verfügen. Vielmehr können Zugriffsrechte je nach Aufgabe oder Organisationseinheit granular festgelegt werden, etwa im Rahmen von Rollen-basierten Gruppen.

9. Privileged Password Manager einsetzen

Solche Werkzeuge automatisieren, kontrollieren und verwalten die Passwortvergabe an Administratoren. Sie werden üblicherweise auf gehärteten Appliances eingesetzt, die über ein sicheres, Rollen-basiertes Interface zugänglich sind und Attacken oder Systemmodifikationen auf Betriebssystem-, Datenbank- oder System-Level vorbeugen. Privileged Password Manager gibt es sowohl von Dell als auch von anderen Anbietern. Sie stellen eine zusätzliche Sicherheitsschicht dar.

Letztlich sollte man stets die einfachsten Sicherheitsregeln beherzigen, etwa Microsofts “10 Immutable Laws of Security“. Regel eins lautet dort zum Beispiel: “Wenn ein Bösewicht dich davon überzeugt, sein Programm auf deinem Computer laufen zu lassen, ist es nicht mehr dein Computer.” Gesunder Menschenverstand eben.