Pass-the-Hash-Angriff

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche


Pass-the-Hash-Angriffe werden insbesondere beim Einbruch in Windows-Netzwerke eingesetzt, da für die meisten Windows-Dienste eine zentrale Anmeldung vorgesehen ist. Zur Authentifizierung werden hier keine Klartext-Passworte verwendet, sondern deren Hash-Werte. Ein Angreifer muss also analog nur die Client-Software so modifizieren, dass diese das Hashen weglässt. Voraussetzung für solche Angriffe ist natürlich die Kenntnis des Hash-Wertes, die sich aber aus dem Arbeitsspeicher eines Rechners extrahieren lassen. Im Internet sind Tools erhältlich, die diese Arbeit erleichtern (z.B. Mimikatz, psexex, Windows Credential Editor).

Zur Verhinderung solcher Angriffe sollten, neben dem üblichen Perimeterschutz des Netzwerkes und des Einsatzes von Daten-Verschlüsselungen, unterschiedliche Admin-Konten für Arbeiten am PC und Server bzw. eigene beschränkte Konten für Dienste bzw. zeitgesteuerte Aufgaben eingerichtet sein. Auch sollte ein sauberes Abmelden bei Admin-Sitzungen erfolgen. Selbstverständlich sollten die Passworte der Admin- und Dienstekonten regelmäßig gewechselt werden.

Um solche Angriffe fast unmöglich zu machen, sollte man mit Kerberos das neue Standard-Authentifizierungsverfahren für Windows-Netzwerke einsetzen. Aber auch hier gibt es neuerdings Angriffsmöglichkeiten (Golden Ticket/Silver Ticket).


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 23. August 2015 um 15:14 Uhr von Oliver Wege geändert.

Anzeigen