Bei der Recherche zu einer Problematik, die mir derzeit über den Weg läuft, bin ich auf ein interessantes Phänomen gestoßen. Das eigentlich als „ausgestorben“ geltende Verfahren „Pass the hash“ ist wieder zurück. Und zwar – soweit ich das einschätzen kann – ohne eine wirkliche Lösung. Noch drehen die IT-Verantwortlichen wohl nicht durch. Aber ich denke, das ist nur noch eine Frage der Zeit, bis das passiert.
Man ist jahrelang davon ausgegangen, dass man durch Aktualisierung der Verschlüsselungsmechanismen „Pass the hash“ überwunden hätte. Aber soweit ich festgestellt habe, ist das seit dem vergangenen Sommer wieder aktuell. Dabei wird folgendes getan:
- Ein Benutzer meldet sich mit Benutzername und Passwort an
- Aus diesen beiden Angaben wird ein Hashwert generiert (also eine kryptische Zahlen-und-Buchstaben-Kolonne)
- Dieser Hash wird an den Server geschickt, der die in seiner Datenbank gespeicherten Hashwerte mit den zugeschickten vergleicht
- Ist der geschickte Wert richtig, erfolgt die Anmeldung
- So lang der Benutzer angemeldet ist, verbleibt der Hashwert im Arbeitsspeicher des Servers
- Ein Angreifer muss also „nur“ die Hashwerte abfangen, um einzudringen
Da man dieses Problem immer den Anmeldevorgängen in Windows-Umgebungen zugerechnet hatte, plauderten die Linux-Fans immer von „Mit einem richtigen Betriebssystem wäre das nicht passiert“. Aber damit liegen sie nun aber definitiv falsch. Dieses Abgreifen der Hashwerte kann wohl auch unter Linux passieren.
Man kann wohl das Risiko einer „Pass the hash“-Attacke reduzieren. Ausschließen kann man es nicht. So gab es letzte Woche für Windows 7, Windows 8, Windows 8.1 und deren Server ab 2008 Sicherheitsupdates. Eine Aufschlüsselung dieser habe ich bei der SG IT gefunden. Abschwächung der Problematik soll demnach ein verbesserter Schutz von Anmeldeinformationen bieten.
In Windows-Umgebungen ist wohl die Schwachstelle der Dienst „Lokale Sicherheitsautorität“ (Local Security Authority – LSA). Und die soll wohl im Endeffekt besser geschützt werden. Problematisch in diesem Zusammenhang ist wohl das Authentifizierungsverfahren NTLM. Und hier wird der Nachbesserungsbedarf auf alle Fälle gegeben sein. Wie sich die Situation bei Linux verhält, kann ich nicht sagen, aber die Aussage, man solle besser auf Linux umsteigen, zieht dann hier ja nicht.
Ich kann letztendlich aber dazu raten, alle Systeme so aktuell wie möglich zu halten. Dafür gibt es ja in Windows-Umgebungen die „automatischen Updates“ und solche Dinge wie WSUS. Und in Windows-Umgebungen würde ich in jedem Fall die Ereignisanzeigen im Auge behalten, ob dort irgendwelche ungewöhnlichen Dinge protokolliert werden.
Denn schließlich sind es ja schützenswerte Daten, denen die Angreifer mittels „Pass the hash“ habhaft werden wollen. Ob es nun Diebstahl von Unternehmensinterna betrifft oder ein privater Computer missbraucht werden soll. Die Chance, dass Daten entwendet werden, ist groß. Und ich glaube, Geheimdienste wie NSA, GCHQ oder Bundesnachrichtendienst greifen über „Pass the hash“ zu.