Hook-Einleitung
Als Sicherheitsfachmann kennt man sie bereits: Pass-the-Hash (PTH) und Kerberoasting-Angriffe. Sie gehören zum Arsenal der Red Teams und können in einem Atemzug genannt werden. Aber was genau sind diese Angriffe und wie können Sie Ihre Organisation vor diesem Risiko schützen?
Pass-the-Hash (PTH)
Pass-the-Hash ist ein Angriffsmuster, bei dem Angreifer die Hashwerte von Benutzerkonten manipulieren, um Zugriff auf Systeme zu erhalten. Das klingt banal, aber in der Praxis ist es alles andere als einfach. Ein Benutzer muss eine gültige Anmeldung haben, bevor der Haschwert der Anmeldung verwendet werden kann.
Beispiel
Ein Angreifer erstellt einen Benutzer mit den gleichen Anmeldedaten wie ein wichtiger Mitarbeiter. Der Haschwert des neuen Benutzers ist identisch mit dem des Mitarbeiters. Der Angreifer gibt den Haschwert dem System, und das System denkt, der Benutzer sei der echte.
Einschätzung
Beim Pass-the-Hash-Angriff geht es darum, dass ein Angreifer die Gültigkeit einer Anmeldung übernimmt, ohne den User selbst zu authentifizieren. Das führt dazu, dass es für die Verteidigung am wichtigsten ist, die Benutzerrichtlinien streng zu überprüfen.
Kerberoasting
Kerberoasting ist eine Art Angriff auf Microsoft-Kerberos-Konten. Dabei wird versucht, die Krypto-Authentifizierung zu umgehen, indem die NTML-Hash-Werte von Kerberos-Konten abgefangen und geknackt werden.
Beispiel
Ein Angreifer verwendet eine Tools-Library, um das kartenweite Passwort von einem Windows-Konto zu knacken. Nach einigen Stunden gelingt es dem Angreifer, den Haschwert eines wichtigen Mitarbeiters zu knacken.
Einschätzung
Kerberoasting-Angriffe machen nur Sinn, wenn der Angreifer Zugriff auf die Kommunikationsprotokolle hat. Daher sollten Windows-Benutzer sicherstellen, dass ihre Netzwerkkommunikation verschlüsselt ist.
Häufige Fehler
- Unsachgemäße Konfiguration der Krypto-Authentifizierung: Wenn keine Krypto-Authentifizierung aufgesetzt ist, kann ein Angreifer PTH-Angriffe oder Kerberoasting ohne größere Schwierigkeiten durchführen.
- Unzureichende Benutzerrichtlinien: Veraltete Benutzerrichtlinien können eine Angreifer-Kriegswaffe machen.
- Mangelnde Netzwerk-Sicherheit: Unverschlüsselte Netzwerkkommunikation stellt die Zugriffspunkte für Angreifer zur Verfügung.
Fazit
Um sich gegen Red-Team-Angriffe zu schützen, ist es wichtig, das Thema Pass-the-Hash und Kerberoasting in den Griff zu bekommen:
- Konfigurieren Sie Krypto-Authentifizierungs-Protokolle für Windows-Konten.
- Überprüfen und aktualisieren Sie die Benutzerrichtlinien.
- Verschlüsseln Sie Netzwerkkommunikation, was Ihnen in der Regel viel Anfangsschwierigkeit abnimmt.
Wenn Sie also alle notwendigen Sicherheitsbausteine sorgfältig implementiert haben, verkleinern Sie so den Schutzschild eines potenziellen Angreifers.
Top comments (0)