Definition Pass-the-Hash (PtH)

Was ist ein Pass-the-Hash-Angriff?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Pass-the-Hash ist eine Angriffsmethode, die den gestohlenen Hashwert eines Passworts zur Authentifizierung gegenüber einem System verwendet.
Pass-the-Hash ist eine Angriffsmethode, die den gestohlenen Hashwert eines Passworts zur Authentifizierung gegenüber einem System verwendet. (Bild: gemeinfrei / Pixabay)

Pass-the-Hash ist eine Angriffsmethode, die den Hashwert eines Passworts zur Authentifizierung gegenüber einem System verwendet. Durch Schwachstellen im System oder in den Authentifizierungsprotokollen lässt sich der Hashwert mit Tools auslesen und zur Authentifizierung einsetzen. Nutzbar ist die Angriffsmethode in verschiedenen Betriebs­system­umgebungen wie Windows oder Linux.

Pass-the-Hash ist eine Angriffsmethode im Computerumfeld. Sie wird mit PtH abgekürzt. Die Methode verwendet den Hashwert eines Passworts, um sich gegenüber einem Rechner, Server oder Service zu authentifizieren. Das lesbare Passwort ist für die Authentifizierung nicht notwendig. Aus Angreifersicht ersetzt der Hashwert das Passwort des Users und macht Brute-Force-Attacken auf das eigentliche Passwort überflüssig. Der Hashwert lässt sich aufgrund von Schwachstellen im Betriebssystem oder im Authentifizierungsprotokoll mit speziellen Tools wie Mimikatz beispielsweise aus dem Windows-Arbeitsspeicher auslesen. Sowohl in Windows- als auch in Linux-Umgebungen werden PtH-Angriffe von Hackern genutzt, um in die Systeme oder Netzwerke einzudringen. Es existieren zahlreiche Exploits, in denen die PtH-Angriffsmethode implementiert ist. In Windows 10 sind technische Vorkehrungen getroffen, die PtH verhindern sollen.

5 Schritte zur sicheren Active Directory-Umgebung

Mehr Sicherheit für Domänencontroller

5 Schritte zur sicheren Active Directory-Umgebung

08.08.17 - Das Active Directory wird in vielen Unternehmen als zentrales Element zur Authentifizierung genutzt. Daher stehen die Domänencontroller auch im Fokus von Angreifern. Werden diese Systeme kompromittiert, dann ist oft das gesamte Netzwerk in Gefahr. Mit Bordmitteln lässt sich die Sicherheit aber deutlich erhöhen. lesen

Technischer Ablauf eines PtH-Angriffs

Systeme mit Passwort-basierten Authentifizierungsmethoden speichern in der Regel nicht das lesbare Passwort, sondern einen aus dem Passwort über eine Einwegfunktion errechneten Hashwert. Bei der Authentifizierung wird aus dem vom Anwender eingegebenen Passwort der Hashwert ermittelt und mit dem im System zuvor abgespeicherten Hashwert verglichen. Stimmen die beiden Hashwerte überein, ist der Anwender gegenüber dem System authentifiziert. Sind die Hashwerte statisch abgelegt, genügt es dem Angreifer, den Hashwert zu erbeuten, um sich mit einer bestimmten Identität zu authentifizieren. Es ist nicht notwendig, das lesbare Passwort zu stehlen oder es aus dem Hashwert zu ermitteln. Besonders Systeme mit sogenannter LM- oder NTLM-Authentifizerung und Unterstützung von Single-Sign-On-Verfahren (SSO-Verfahren) sind anfällig gegen PtH-Angriffe. Bevor sich ein Hacker mit dem Hashwert authentifizieren kann, muss er diesen aus dem System auslesen. Es existieren verschiedene Tools, die den Hashwert über folgende Methoden ermitteln:

  • Auslesen aus dem Zwischenspeicher (Cache)
  • Auslesen aus einer User-Datenbanken
  • Mitlesen des Hashwerts auf einer Netzwerkverbindung während der Authentifizierung
  • Auslesen bestimmter Bereiche des Arbeitsspeichers

Mimikatz als Tool für Pass-the-Hash-Angriffe

Ein sehr bekanntes und frei verfügbares Tool für PtH-Angriffe auf Windows-Systemen ist Mimikatz. Das Tool ist in der Lage auf Rechnern mit bestimmten Windows-Versionen, Passwort-Hashwerte oder Passwörter im Klartext aus dem Speicher des Windows-Clients auszulesen. Neben Pass-the-Hash unterstützt es weitere Methoden wie Pass-the-Ticket, Over-Pass-the-Hash (Pass-the-Key), Kerberos Golden Ticket, Kerberos Silver Ticket oder Pass-the-Cache.

Schutz gegen Pass-the-Hash-Angriffe

Um sich gegen Pass-the-Hash-Angriffe zu schützen, sollten die aktuellsten Betriebssystemversionen und Authentifizierungsprotokolle installiert sein. Windows 10 sichert gespeicherte Hashwerte beispielsweise mit einem Credential Guard und dem Einsatz von Virtualisierungstechniken ab. Für das normale Arbeiten an einem Rechner sollte niemals eine Kennung mit Administratorrechten, sondern ein eingeschränktes Benutzerkonto verwendet werden. Nach der Beendigung von administrativen Arbeiten am Rechner hat sich der Administrator vom System zeitnah abzumelden. Erfolgen Authentifizierungen über Netzwerkverbindungen, sind diese abzusichern und zu verschlüsseln. Da PtH-Exploits oftmals per Mail an Anwender gesendet werden, sind E-Mail-Zugänge für Administrator-Accounts zu vermeiden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Privilegierte Identitäten besser schützen

Identitäten im Visier

Privilegierte Identitäten besser schützen

Bei vielen der größten Datendiebstähle des 21. Jahrhunderts konnten externe Angreifer die Anmeldeinformationen von Usern mit Zugriff auf privilegierte Konten erlangen. Das sind beispielsweise IT-Administrator- und Service-Konten oder Betriebs-Accounts. Und damit hatten die Angreifer die Möglichkeit, in quasi industriellem Maßstab an Daten zu gelangen, diese zu sammeln und heraus zu schleusen. lesen

Was ist Mimikatz?

Definition Mimikatz

Was ist Mimikatz?

Mimikatz ist ein Tool, mit dem sich unter Ausnutzung von Schwachstellen zwischengespeicherte Anmeldedaten eines Rechners mit Microsoft Windows Betriebssystem anzeigen lassen. Die Software ist frei verfügbar und kann von GitHub in einer 32-Bit- oder 64-Bit-Version heruntergeladen werden. lesen

Active Directory Management mit dem „Red Forest“

Enhanced Security Administrative Environment

Active Directory Management mit dem „Red Forest“

Fast alle Unternehmen verlassen sich auf das Active Directory als primären Authentifizie­rungs­mechanismus in ihrem Netzwerk. Dadurch ist Active Directory auch das beliebteste Ziel von Angriffen. Ein zusätzliches Maß an Sicherheit soll Microsofts Active Directory Red Forest Design, alias Enhanced Security Administrative Environment (ESAE) bieten. lesen

5 Schritte zur sicheren Active Directory-Umgebung

Mehr Sicherheit für Domänencontroller

5 Schritte zur sicheren Active Directory-Umgebung

Das Active Directory wird in vielen Unternehmen als zentrales Element zur Authentifizierung genutzt. Daher stehen die Domänencontroller auch im Fokus von Angreifern. Werden diese Systeme kompromittiert, dann ist oft das gesamte Netzwerk in Gefahr. Mit Bordmitteln lässt sich die Sicherheit aber deutlich erhöhen. lesen

Admins und Admin-Konten vor Angriffen schützen

Privileged Access Management

Admins und Admin-Konten vor Angriffen schützen

Manipulationen in IT-Systemen oder Datendiebstahl gehen oft auf das Konto von Administratoren. Dieser vorsätzliche oder unwissentliche Missbrauch von erweiterten Rechten lässt sich durch Privilegd Access Management effizient und automatisiert eindämmen. Welche Anforderung eine solche Software, die den Zugang zu privilegierten Konten begrenzt, erfüllen muss. lesen

Datendiebstahl mit privilegierten Konten

Privileged Account Management Tipps & Tricks

Datendiebstahl mit privilegierten Konten

Gefahren lauern überall – auch in den eigenen Reihen. Interne Mitarbeiter sind sehr oft für Datendiebstähle verantwortlich, sei es absichtlich oder aus Versehen. Schuld daran ist häufig ein Missbrauch von Administrator- oder Service-Benutzerkonten mit privilegierten Rechten. Mit Privileged Access- und Account-Management lassen sich diese Risiken um sensible Unternehmensdaten minimieren. lesen

Was ist ein sicheres Passwort?

Definition

Was ist ein sicheres Passwort?

Kennwörter sind essentiell für den Alltag im IT-Umfeld. Damit sind sie auch ständig im Fokus von Angreifern. Der Lexikoneintrag zeigt die Grundlagen zu Attacken, Passwortstärken und Schutzfunktionen. lesen

Top 6 der erfolgreichen Ransomware-Familien

Crypto-Malware

Top 6 der erfolgreichen Ransomware-Familien

Locky war weder die erste Ransomware, noch wird sie die letzte sein. Deshalb gilt es, Crypto-Trojaner und andere Erpresser-Tools besser zu verstehen, um sich schützen zu können. Wir werfen einen Blick auf die Ransomware, die aktuell aktiv und erfolgreich ist. lesen

Von der reaktiven Abwehr zum aktiven Schutz

Gerüstet gegen Cyber-Attacken

Von der reaktiven Abwehr zum aktiven Schutz

Privilegierte Benutzerkonten stellen für jedes Unternehmen, aber auch jede Behörde eine erhebliche Sicherheitsgefahr dar. Das hat die jüngste Vergangenheit ganz klar gezeigt: ­Nahezu immer wurden bei Fällen von Daten­sabotage oder -diebstahl privilegierte Benutzerkonten als Einfallstor genutzt. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46064775 / Definitionen)