Was ist ein Pass-the-Hash-Angriff?

Pass-the-Hash-Angriffe sind Cyberangriffe, bei denen Angreifer „gehashte“ Benutzeranmeldedaten stehlen und damit eine neue Benutzersitzung im gleichen Netzwerk erstellen. Im Gegensatz zu anderen Angriffen mit Anmeldedatendiebstahl können sich die Hacker hier Zugriff zum System zu verschaffen, ohne vorher das Kennwort abzugreifen oder zu knacken. Stattdessen nutzen sie eine gespeicherte Version des Kennworts, um eine neue Sitzung zu eröffnen.

Was ist ein Kennwort-Hash?

Ein Kennwort-Hash ist eine unumkehrbare mathematische Funktion, die das Kennwort eines Benutzers in eine Zeichenfolge umwandelt, die nicht invertiert oder entschlüsselt werden kann, um das Kennwort wieder lesbar zu machen. Einfach ausgedrückt werden die Kennwörter nicht als Text oder Zeichen gespeichert, sondern als nichtssagende Hash-Zeichen.

Warum werden Pass-the-Hash-Angriffe zunehmend zu einem Problem?

Immer mehr Unternehmen setzen auf Single Sign-On-Technologie (SSO), um Remote-Arbeit zu vereinfachen und ein möglichst reibungsloses Benutzererlebnis zu ermöglichen. Mittlerweile haben Angreifer jedoch erkannt, dass gespeicherte Kennwörter und Anmeldedaten eine Schwachstelle darstellen.

Identitätsbasierte Angriffe wie Pass-the-Hash-Angriffe, bei denen sich Bedrohungsakteure als legitime Benutzer ausgeben, sind besonders schwer zu erkennen, da die meisten herkömmlichen Cybersicherheitslösungen nicht zwischen einem echten Benutzer und einem Angreifer, der einen solchen imitiert, unterscheiden können.

Unternehmen müssen sich vor Pass-the-Hash-Angriffen schützen, da die Technik häufig als Einfallstor für nachfolgende, schwerwiegendere Sicherheitsbedrohungen wie Datenkompromittierungen, Identitätsdiebstahl sowie Malware- und Ransomware-Angriffe genutzt wird.

2024-gtr-exec-summary-cover-de

CrowdStrike Global Threat Report 2024: Kurzfassung

Der CrowdStrike Global Threat Report 2024 basiert auf den Beobachtungen des CrowdStrike Counter Adversary Operations Teams und hebt die wichtigsten Themen, Trends und Ereignisse in der Cyber-Bedrohungslandschaft hervor.

Jetzt herunterladen

Ablauf von Pass-the-Hash-Angriffen

Wer verstehen möchte, wie Pass-the-Hash-Angriffe ablaufen, benötigt zunächst ein grundlegendes Verständnis über die Funktionsweise der Identitäts- und Zugriffsverwaltung (IAM) im Unternehmen. IAM ist ein Framework, mit dem das IT-Team Benutzer authentifizieren und den Zugriff auf Systeme, Netzwerke und Ressourcen über die jeweilige Benutzeridentität steuern kann.

Es gibt drei verschiedene Möglichkeiten, Benutzerkennwörter im IAM-System zu speichern:

  1. Im Klartext – eine sehr unsichere Methode, die nicht zu empfehlen ist
  2. Mithilfe von Verschlüsselung – eine sicherere Methode, die sich allerdings durch Entschlüsselung oder einen Entschlüsselungsschlüssel umkehren lässt
  3. Als Hash-Funktion – wie bereits erwähnt, ist dies eine Option, bei der das Kennwort nicht entschlüsselt werden kann

Wenn sich ein autorisierter Benutzer beim Unternehmenssystem anmeldet, führt es die Hash-Funktion aus, die erstellt wurde, als der Benutzer seine Anmeldedaten das erste Mal eingerichtet hat. Das System authentifiziert den Benutzer, da der vom Benutzer eingegebene Hash-Wert mit dem im System gespeicherten übereinstimmt.

Wie funktioniert ein Pass-the-Hash-Angriff?

Bei einem Pass-the-Hash-Angriff verschaffen sich Angreifer in der Regel durch Social-Engineering-Techniken Zugang zum System. Ein Beispiel dafür ist Phishing. Cyberkriminelle nutzen dabei menschliche Emotionen wie Angst, Empathie oder Gier aus, um ihre Opfer dazu zu bringen, persönliche Informationen herauszugeben oder eine schädliche Datei herunterzuladen.

Haben die Angreifer erst einmal Zugriff auf das Benutzerkonto, lesen sie den aktiven Speicher mit verschiedenen Tools und Techniken aus und suchen dort nach Hash-Werten.

Mithilfe eines oder mehrerer Hash-Werte erlangen sie vollständigen Zugriff auf das System und können sich lateral im Netzwerk bewegen. Während sich die Angreifer von einer Anwendung zur nächsten bewegen und als legitimer Benutzer ausgeben, sammeln sie oft weitere Hash-Werte aus dem System. Mit diesen können sie auf weitere Netzwerkbereiche zugreifen, Kontoberechtigungen erweitern, privilegierte Konten ins Visier nehmen und Backdoors einrichten, um langfristigen Zugang zu erhalten.

Wer ist anfällig für Pass-the-Hash-Angriffe?

Windows-Server-Clients und vor allem Unternehmen, die den Windows New Technology LAN Manager (NTLM) nutzen, sind für Pass-the-Hash-Angriffe besonders anfällig.

NTLM ist ein Paket von Microsoft-Sicherheitsprotokollen, das Benutzeridentitäten authentifiziert sowie die Integrität und Vertraulichkeit der Benutzeraktivitäten schützt. Im Kern ist NTLM ein SSO-Tool, das anhand eines Challenge-Response-Protokolls den Benutzer verifiziert, ohne von ihm die Eingabe eines Kennworts zu verlangen. Dieser Prozess wird als NTLM-Authentifizierung bezeichnet.

NTLM weist mehrere bekannte Sicherheitsschwachstellen in Verbindung mit Hashing und dem so genannten Salting auf. Bei NTLM werden die auf dem Server und im Domänencontroller gespeicherten Kennwörter nicht mit einem Salt versehen. Das heißt, dem gehashten Kennwort wird keine zufällige Zeichenfolge hinzugefügt, um die Kennwortsicherheit zusätzlich zu erhöhen. Bedrohungsakteure, die im Besitz des Kennwort-Hashs sind, benötigen dann für die Authentifizierung bei einer Sitzung nicht das zugrunde liegende Kennwort.

Die Kryptografie von NTLM ist außerdem nicht in der Lage, Weiterentwicklungen in den Bereichen Algorithmen und Verschlüsselung zu nutzen, durch die sich Sicherheitsfunktionen erheblich verbessern lassen.

NTLM wurde in Windows 2000 und späteren Active Directory-Domänen durch das Standard-Authentifizierungsprotokoll Kerberos ersetzt. Allerdings wird das Protokoll weiterhin von allen Windows-Systemen unterstützt, um die Kompatibilität mit älteren Clients und Servern zu gewährleisten. Beispiel: Computer, auf denen Windows 95, Windows 98 oder Windows NT 4.0 ausgeführt wird, nutzen für die Netzwerkauthentifizierung mit einer Windows 2000-Domäne weiterhin das NTLM-Protokoll. Ebenso verwenden Computer, auf denen Windows 2000 ausgeführt wird, NTLM für die Authentifizierung von Servern bei Windows NT 4.0 oder früheren Versionen sowie für den Zugriff auf Ressourcen in Windows 2000- oder früheren Domänen. NTLM wird außerdem für das Authentifizieren lokaler Anmeldungen bei Controllern außerhalb der Domäne verwendet.

Im Fokus: ein aktueller Pass-the-Hash-Angriff

Im April 2022 nutzte die Ransomware-as-a-Service-Plattform (RaaS) Hive eine Pass-the-Hash-Technik, um einen koordinierten Angriff auf zahlreiche Kunden mit Microsoft Exchange-Servern durchzuführen, die unter anderem aus dem Energie-, Finanz- sowie gemeinnützigen Sektor und dem Gesundheitswesen stammten.

Bei dem Angriff wurde eine Schwachstelle namens ProxyShell in Microsoft Exchange-Servern ausgenutzt. Obwohl die Schwachstelle schnell von Microsoft gepatcht wurde, hatten viele Unternehmen ihre Software noch nicht aktualisiert und waren somit anfällig.

Die Angreifer nutzten die ProxyShell-Lücke aus und schleusten ein Backdoor-Webskript ein, das schädlichen Code auf dem Exchange-Server ausführte. Dann übernahmen die Angreifer mithilfe der Pass-the-Hash-Technik die Kontrolle über das System und gelangten mit Mimikatz an den NTLM-Hash. Anschließend erkundeten sie den Server, erfassten Daten und übertrugen die Ransomware-Payload.

Weitere Informationen

Weitere Informationen über das Open-Source-Tool Mimikatz und dessen Einsatz in der Praxis finden Sie in unserem Blog-Artikel. Dort erfahren Sie zum Beispiel, wie damit unzuverlässige signaturbasierte Erkennungen umgangen werden.

Blog: Mimikatz in the Wild: Bypassing Signature-Based Detections Using the “AK47 of Cyber”

So schützen Sie sich vor Pass-the-Hash-Angriffen

Um Pass-the-Hash-Angriffe zu verhindern, müssen Unternehmen verstehen, dass bisherige Best Practices der IT-Sicherheit wie das Festlegen strenger Kennwortanforderungen und die Überwachung auf mehrfache Anmeldeversuche bei dieser Angriffsmethode nur bedingt helfen. Zum Glück gibt es noch weitere effektive Maßnahmen, die Pass-the-Hash-Angriffe verhindern und ihre Folgen minimieren können:

1. Verwenden von Multifaktor-Authentifizierung (MFA)

Unternehmen, die Multifaktor-Authentifizierung (MFA) nutzen, sind vor Pass-the-Hash-Angriffen deutlich besser geschützt, da die Angreifer in der Regel nur über den Hash verfügen, der ohne einen zweiten Authentifizierungsfaktor praktisch nutzlos ist. Bei der Multifaktor-Authentifizierung werden die normalen Kontoanmeldedaten in der Regel mit einem Sicherheitstoken per SMS, einem Authentifizierungstool oder einer biometrischen Verifizierung kombiniert, um die Identität von Benutzern zu verifizieren, bevor sie Zugriff auf einen Service erhalten.

2. Einschränken von Netzwerkzugriff und Kontoberechtigungen

Ein kompromittierter Hash kann bei Unternehmen, die kein MFA implementiert haben, als Einfallstor für einen größeren Angriff dienen. Um die Bewegungen der Hacker einzudämmen und Schäden zu minimieren, sollten Unternehmen daher auch den Netzwerkzugriff einschränken. Gängige Techniken sind:

  • Least-Privilege-Prinzip: Das Least-Privilege-Prinzip (Principle of Least Privilege, POLP) ist ein Konzept und Verfahren zur Gewährleistung der Computersicherheit, bei dem Benutzern lediglich die Zugriffsrechte eingeräumt werden, die sie für die Ausübung ihrer Tätigkeit benötigen. Mit diesem Ansatz wird sichergestellt, dass nur autorisierte Benutzer, deren Identität verifiziert wurde, über die Berechtigungen zum Ausführen verschiedener Tätigkeiten innerhalb bestimmter Systeme, Anwendungen, Daten und anderen Ressourcen verfügen. POLP gilt weithin als eines der effektivsten Verfahren zur Stärkung der Cybersicherheit von Unternehmen, da es ihnen die Kontrolle und Überwachung des Netzwerk- und Datenzugriffs ermöglicht.
  • Zero Trust: Zero Trust ist ein Sicherheits-Framework, bei dem alle Benutzer innerhalb und außerhalb des Unternehmensnetzwerks authentifiziert, autorisiert und permanent validiert werden müssen, bevor sie Zugriff auf Anwendungen und Daten erhalten. Dabei kommt eine Kombination aus hochentwickelten Technologien wie risikobasierte Multifaktor-Authentifizierung (MFA), Identitätsschutz, Endgerätesicherheit der nächsten Generation sowie robuste Cloud-Workload-Technologie zum Einsatz, um die Benutzer- oder Systemidentität zu kontrollieren, den Zugriff zum jeweiligen Zeitpunkt abzuwägen und die Systemsicherheit aufrechtzuerhalten. Darüber hinaus müssen bei Zero Trust auch Überlegungen hinsichtlich der Verschlüsselung von Daten, der Sicherung von E-Mails sowie der Kontrolle der IT-Hygiene von Assets und Endgeräten angestellt werden, bevor eine Verbindung mit Anwendungen zugelassen wird.
  • Zugriffsrechteverwaltung (PAM): Zugriffsrechteverwaltung (Privileged Access Management, PAM) ist eine Cybersicherheitsstrategie, bei der es vor allem um den Schutz der Anmeldedaten für Administratorkonten geht.
  • Identitätssegmentierung: Identitätssegmentierung ist eine Methode, um Benutzerzugriff auf Anwendungen bzw. Ressourcen anhand von Identitäten zu beschränken.

3. Implementieren von IT-Hygiene

Ein IT-Hygiene-Tool wie CrowdStrike Falcon Discover™ bietet einen Überblick über die Nutzung von Anmeldedaten im Unternehmen, um potenziell schädliche Administratoraktivitäten zu erkennen. Mithilfe der Kontenüberwachungsfunktion kann das Sicherheitsteam nach privilegierten Konten suchen, die die Angreifer angelegt haben, um langfristigen Zugang zu erhalten. Die Funktion trägt zudem dazu bei, dass Kennwörter regelmäßig geändert werden, damit gestohlene Anmeldedaten nur zeitlich begrenzt einen Nutzen haben.

4.Durchführen von Penetrationstests

Penetrationstests werden auch als ethisches Hacking bezeichnet. Sie stellen eine weitere wichtige Maßnahme für Unternehmen zum Schutz vor identitätsbasierten Angriffen wie Pass-the-Hash-Angriffen dar. Penetrationstests simulieren eine Reihe realer Cyberangriffe, um die Cybersicherheit eines Unternehmens zu testen und Schwachstellen aufzudecken. Der Test beinhaltet Systemidentifizierung, Auflistung, Schwachstellensuche, Ausnutzung, Erweiterung der Zugriffsrechte, laterale Bewegungen und Zielsetzungen.

5. Implementierung von Cloud Infrastructure Entitlement Management (CIEM)

Heute verlagern immer mehr Unternehmen ihre Systeme und Geschäftsabläufe in die Cloud. Das Festlegen von Berechtigungen und Überwachen der Zugriffe wird dadurch zunehmend komplexer. Eine CIEM-Lösung (Cloud Infrastructure Entitlement Management) ist eine identitätsbasierte SaaS-Lösung, die Unternehmen bei der Verwaltung von Berechtigungen für alle Cloud-Infrastruktur-Ressourcen unterstützt. Diese Tools sollen vor allem die Risiken minimieren, die durch die unabsichtliche und ungeprüfte Erteilung übermäßiger Zugriffsrechte auf Cloud-Ressourcen entstehen.

6. Durchführen von proaktiver Bedrohungssuche

Echte proaktive Bedrohungssuchen, zum Beispiel durch das CrowdStrike Falcon OverWatch™-Team, ermöglichen die Rund-um-die-Uhr-Suche nach unbekannten und verborgenen Angriffen, die gestohlene Anmeldedaten verwenden und sich als legitime Benutzer tarnen. Solche Angriffsarten werden von standardmäßigen Sicherheitsmaßnahmen mitunter übersehen. Das OverWatch-Team nutzt die im täglichen Kampf gegen hochentwickelte hartnäckige Bedrohungen (Advanced Persistent Threats, APTs) gewonnenen Erkenntnisse, um jeden Tag Millionen subtiler Spuren und schädlicher Aktivitäten zu untersuchen und Kunden bei Bedarf zu warnen.