Suchen

Definition Pass-the-Hash (PtH) Was ist ein Pass-the-Hash-Angriff?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Pass-the-Hash ist eine Angriffsmethode, die den Hashwert eines Passworts zur Authentifizierung gegenüber einem System verwendet. Durch Schwachstellen im System oder in den Authentifizierungsprotokollen lässt sich der Hashwert mit Tools auslesen und zur Authentifizierung einsetzen. Nutzbar ist die Angriffsmethode in verschiedenen Betriebs­system­umgebungen wie Windows oder Linux.

Firmen zum Thema

Pass-the-Hash ist eine Angriffsmethode, die den gestohlenen Hashwert eines Passworts zur Authentifizierung gegenüber einem System verwendet.
Pass-the-Hash ist eine Angriffsmethode, die den gestohlenen Hashwert eines Passworts zur Authentifizierung gegenüber einem System verwendet.
(Bild: gemeinfrei / Pixabay )

Pass-the-Hash ist eine Angriffsmethode im Computerumfeld. Sie wird mit PtH abgekürzt. Die Methode verwendet den Hashwert eines Passworts, um sich gegenüber einem Rechner, Server oder Service zu authentifizieren. Das lesbare Passwort ist für die Authentifizierung nicht notwendig. Aus Angreifersicht ersetzt der Hashwert das Passwort des Users und macht Brute-Force-Attacken auf das eigentliche Passwort überflüssig. Der Hashwert lässt sich aufgrund von Schwachstellen im Betriebssystem oder im Authentifizierungsprotokoll mit speziellen Tools wie Mimikatz beispielsweise aus dem Windows-Arbeitsspeicher auslesen. Sowohl in Windows- als auch in Linux-Umgebungen werden PtH-Angriffe von Hackern genutzt, um in die Systeme oder Netzwerke einzudringen. Es existieren zahlreiche Exploits, in denen die PtH-Angriffsmethode implementiert ist. In Windows 10 sind technische Vorkehrungen getroffen, die PtH verhindern sollen.

Technischer Ablauf eines PtH-Angriffs

Systeme mit Passwort-basierten Authentifizierungsmethoden speichern in der Regel nicht das lesbare Passwort, sondern einen aus dem Passwort über eine Einwegfunktion errechneten Hashwert. Bei der Authentifizierung wird aus dem vom Anwender eingegebenen Passwort der Hashwert ermittelt und mit dem im System zuvor abgespeicherten Hashwert verglichen. Stimmen die beiden Hashwerte überein, ist der Anwender gegenüber dem System authentifiziert. Sind die Hashwerte statisch abgelegt, genügt es dem Angreifer, den Hashwert zu erbeuten, um sich mit einer bestimmten Identität zu authentifizieren. Es ist nicht notwendig, das lesbare Passwort zu stehlen oder es aus dem Hashwert zu ermitteln. Besonders Systeme mit sogenannter LM- oder NTLM-Authentifizerung und Unterstützung von Single-Sign-On-Verfahren (SSO-Verfahren) sind anfällig gegen PtH-Angriffe. Bevor sich ein Hacker mit dem Hashwert authentifizieren kann, muss er diesen aus dem System auslesen. Es existieren verschiedene Tools, die den Hashwert über folgende Methoden ermitteln:

  • Auslesen aus dem Zwischenspeicher (Cache)
  • Auslesen aus einer User-Datenbanken
  • Mitlesen des Hashwerts auf einer Netzwerkverbindung während der Authentifizierung
  • Auslesen bestimmter Bereiche des Arbeitsspeichers

Mimikatz als Tool für Pass-the-Hash-Angriffe

Ein sehr bekanntes und frei verfügbares Tool für PtH-Angriffe auf Windows-Systemen ist Mimikatz. Das Tool ist in der Lage auf Rechnern mit bestimmten Windows-Versionen, Passwort-Hashwerte oder Passwörter im Klartext aus dem Speicher des Windows-Clients auszulesen. Neben Pass-the-Hash unterstützt es weitere Methoden wie Pass-the-Ticket, Over-Pass-the-Hash (Pass-the-Key), Kerberos Golden Ticket, Kerberos Silver Ticket oder Pass-the-Cache.

Schutz gegen Pass-the-Hash-Angriffe

Um sich gegen Pass-the-Hash-Angriffe zu schützen, sollten die aktuellsten Betriebssystemversionen und Authentifizierungsprotokolle installiert sein. Windows 10 sichert gespeicherte Hashwerte beispielsweise mit einem Credential Guard und dem Einsatz von Virtualisierungstechniken ab. Für das normale Arbeiten an einem Rechner sollte niemals eine Kennung mit Administratorrechten, sondern ein eingeschränktes Benutzerkonto verwendet werden. Nach der Beendigung von administrativen Arbeiten am Rechner hat sich der Administrator vom System zeitnah abzumelden. Erfolgen Authentifizierungen über Netzwerkverbindungen, sind diese abzusichern und zu verschlüsseln. Da PtH-Exploits oftmals per Mail an Anwender gesendet werden, sind E-Mail-Zugänge für Administrator-Accounts zu vermeiden.

(ID:46064775)

Über den Autor