Neue Trends in der IT-Sicherheitsforschung

Die Black Hat USA 2013 im Rückblick

| Autor / Redakteur: Wolfgang Kandek, CTO bei Qualys / Stephan Augsten

Auf der Black Hat USA 2013 wurden traditionsgemäß diverse IT-Systeme geknackt.
Auf der Black Hat USA 2013 wurden traditionsgemäß diverse IT-Systeme geknackt. (Bild: © maxkabakov - Fotolia)

Bei der Black Hat USA handelt es sich um die wohl größte Zusammenkunft von Security-Forschern weltweit. Die Konferenz gibt einen guten Überblick über den Stand der IT-Sicherheit sowie Bedrohungen, die in naher Zukunft im „Mainstream“ ankommen werden. Dieser Beitrag beleuchtet wichtige Erkenntnisse des diesjährigen Hacking-Events.

Wolfgang Kandek: „Ein großer Teil der Black Hat 2013 war Angriffen und Exploits gegen eher ungewöhnliche Ziele gewidmet.“
Wolfgang Kandek: „Ein großer Teil der Black Hat 2013 war Angriffen und Exploits gegen eher ungewöhnliche Ziele gewidmet.“ (Bild: Qualys)

Schon zum 16. Mal fand Anfang August die „Black Hat“-Sicherheitskonferenz in Las Vegas statt. Als Hacking-Event wird die Black Hat USA wohl nur von ihrer Schwesterkonferenz DEF CON übertroffen, die sich 2013 zum 21. Mal gejährt hat. Grund genug, sich mit den Hacking-Themen dieses Jahres zu befassen.

Fangen wir mit aktuellen Bedrohungen an: Mark Simos und Patrick Jungles von Microsoft hielten einen sehr guten Vortrag über die „Pass The Hash“-Technik (PTH). Der Vortrag umfasste auch Best Practices, um die Auswirkungen so gering wie möglich zu halten. Angreifer setzen PTH ein, nachdem sie eine Schwachstelle ausgenutzt und einen Windows-Computer im Netzwerk unter ihre Kontrolle gebracht haben.

PTH missbraucht die Single-Sign-on-Technik von Microsoft, die dazu dient, bei jedem Login die Arbeitsumgebung wiederherzustellen. Zu diesem Zweck legt der Computer nämlich eine „gehashte“ Version des Passworts im Speicher ab und verwendet diese jedes Mal, wenn ein Rechner authentifiziert werden muss. Dies wäre beispielsweise der Fall, wenn gemeinsame Laufwerke eingehängt werden oder wenn auf einem gemeinsamen Drucker gedruckt werden soll.

Die gespeicherten Hashwerte sind für die PTH-Technik entscheidend: Der Angreifer greift auf sie zu, kopiert sie und verwendet sie dann zur Anmeldung bei anderen Rechnern im Netzwerk. Bei Vollzugriff kann der Angreifer unter anderem Malware auf den Rechnern installieren und seine Präsenz im Netzwerk ausweiten.

Das Risiko von „Pass the Hash“-Attacken minimieren

Hashes sind für das reibungslose Funktionieren eines Windows-Netzwerks unerlässlich und lassen sich nicht vermeiden. Die bestmögliche Gegenmaßnahme besteht darin, den Zeitraum, in dem Hashes für Administratorkonten auf den Computern vorhanden sind, so kurz wie möglich zu halten.

Unternehmen können dies erreichen, indem sie Standard-Berechtigungsnachweise an alle Benutzer vergeben und Administratorzugriffe auf spezielle Situationen beschränken, in denen sie wirklich gebraucht werden. Selbst Netzwerk- und Domain-Administratoren verwenden also bei ihrer täglichen Arbeit Standard-Berechtigungsnachweise und greifen nur auf ein Administratorkonto zu, wenn es absolut notwendig ist.

Insbesondere Websurfen und E-Mail-Nutzung, die wichtigsten modernen Angriffsvektoren, sollten vermieden werden, wenn man im Administratorkonto eingeloggt ist. Gleiches gilt für Remote-Zugriffe auf Client-Rechner mit Administratorrechten. Das Whitepaper von Microsoft zu PTH enthält ausführliche Informationen darüber, wie sich diese Empfehlungen auf eine Weise umsetzen lassen, die sicher ist und die Produktivität aufrechterhält.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42325210 / Hacker und Insider)