:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Pass-the-Hash (PtH) Was ist ein Pass-the-Hash-Angriff?
Pass-the-Hash ist eine Angriffsmethode, die den Hashwert eines Passworts zur Authentifizierung gegenüber einem System verwendet. Durch Schwachstellen im System oder in den Authentifizierungsprotokollen lässt sich der Hashwert mit Tools auslesen und zur Authentifizierung einsetzen. Nutzbar ist die Angriffsmethode in verschiedenen Betriebssystemumgebungen wie Windows oder Linux.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Pass-the-Hash ist eine Angriffsmethode im Computerumfeld. Sie wird mit PtH abgekürzt. Die Methode verwendet den Hashwert eines Passworts, um sich gegenüber einem Rechner, Server oder Service zu authentifizieren. Das lesbare Passwort ist für die Authentifizierung nicht notwendig. Aus Angreifersicht ersetzt der Hashwert das Passwort des Users und macht Brute-Force-Attacken auf das eigentliche Passwort überflüssig. Der Hashwert lässt sich aufgrund von Schwachstellen im Betriebssystem oder im Authentifizierungsprotokoll mit speziellen Tools wie Mimikatz beispielsweise aus dem Windows-Arbeitsspeicher auslesen. Sowohl in Windows- als auch in Linux-Umgebungen werden PtH-Angriffe von Hackern genutzt, um in die Systeme oder Netzwerke einzudringen. Es existieren zahlreiche Exploits, in denen die PtH-Angriffsmethode implementiert ist. In Windows 10 sind technische Vorkehrungen getroffen, die PtH verhindern sollen.
:quality(80)/images.vogel.de/vogelonline/bdb/1266500/1266596/original.jpg "Domänencontroller, privilegierte Accounts und Admin-Konten sind das Lieblingsziel von Hackern und Cyberkriminellen. Es gilt also diese Systeme und Konten im Active Directory besonders sorgfältig abzusichern. (REDPIXEL - stock.adobe.com)")
Mehr Sicherheit für Domänencontroller
5 Schritte zur sicheren Active Directory-Umgebung
Technischer Ablauf eines PtH-Angriffs
Systeme mit Passwort-basierten Authentifizierungsmethoden speichern in der Regel nicht das lesbare Passwort, sondern einen aus dem Passwort über eine Einwegfunktion errechneten Hashwert. Bei der Authentifizierung wird aus dem vom Anwender eingegebenen Passwort der Hashwert ermittelt und mit dem im System zuvor abgespeicherten Hashwert verglichen. Stimmen die beiden Hashwerte überein, ist der Anwender gegenüber dem System authentifiziert. Sind die Hashwerte statisch abgelegt, genügt es dem Angreifer, den Hashwert zu erbeuten, um sich mit einer bestimmten Identität zu authentifizieren. Es ist nicht notwendig, das lesbare Passwort zu stehlen oder es aus dem Hashwert zu ermitteln. Besonders Systeme mit sogenannter LM- oder NTLM-Authentifizerung und Unterstützung von Single-Sign-On-Verfahren (SSO-Verfahren) sind anfällig gegen PtH-Angriffe. Bevor sich ein Hacker mit dem Hashwert authentifizieren kann, muss er diesen aus dem System auslesen. Es existieren verschiedene Tools, die den Hashwert über folgende Methoden ermitteln:
- Auslesen aus dem Zwischenspeicher (Cache)
- Auslesen aus einer User-Datenbanken
- Mitlesen des Hashwerts auf einer Netzwerkverbindung während der Authentifizierung
- Auslesen bestimmter Bereiche des Arbeitsspeichers
Mimikatz als Tool für Pass-the-Hash-Angriffe
Ein sehr bekanntes und frei verfügbares Tool für PtH-Angriffe auf Windows-Systemen ist Mimikatz. Das Tool ist in der Lage auf Rechnern mit bestimmten Windows-Versionen, Passwort-Hashwerte oder Passwörter im Klartext aus dem Speicher des Windows-Clients auszulesen. Neben Pass-the-Hash unterstützt es weitere Methoden wie Pass-the-Ticket, Over-Pass-the-Hash (Pass-the-Key), Kerberos Golden Ticket, Kerberos Silver Ticket oder Pass-the-Cache.
Schutz gegen Pass-the-Hash-Angriffe
Um sich gegen Pass-the-Hash-Angriffe zu schützen, sollten die aktuellsten Betriebssystemversionen und Authentifizierungsprotokolle installiert sein. Windows 10 sichert gespeicherte Hashwerte beispielsweise mit einem Credential Guard und dem Einsatz von Virtualisierungstechniken ab. Für das normale Arbeiten an einem Rechner sollte niemals eine Kennung mit Administratorrechten, sondern ein eingeschränktes Benutzerkonto verwendet werden. Nach der Beendigung von administrativen Arbeiten am Rechner hat sich der Administrator vom System zeitnah abzumelden. Erfolgen Authentifizierungen über Netzwerkverbindungen, sind diese abzusichern und zu verschlüsseln. Da PtH-Exploits oftmals per Mail an Anwender gesendet werden, sind E-Mail-Zugänge für Administrator-Accounts zu vermeiden.
(ID:46064775)
:quality(80)/p7i.vogel.de/wcms/e6/57/e6574acfc8cdb3be097a2e72f8e5341e/0111094277.jpeg "Angriffe auf das Active Directory sicher abzuwehren ist praktisch unmöglich! Die neue Strategie lautet, alles für die Absicherung zu tun, aber mit erfolgreichen Hacks und Breaches zu rechnen und den Schaden über die Faktoren Aufmerksamkeit und Schnelligkeit gering zu halten. (Bild: © flashmovie - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/66/f966dd73d90da51daabd0f3583b64937/0107147004.jpeg "Sehr oft stehen das Active Directory und dort privilegierte Accounts im Fokus von Kriminellen. Thomas Joos zeigt, welche Tools die Angreifer gerne einsetzen, damit Admins sich gezielt auf drohende Gefahren vorbereiten können. (Bild: © tippapatt - stock.adobe.com)")