Pass-the-Hash

Pass-the-Hash
Lösungsprofil
Inhalt
Was ist Pass-the-Hash? ..........................................................................................................................................3
Schwachstellen aufdecken......................................................................................................................................5
DNA-Report..............................................................................................................................................................6
Gefahren reduzieren.................................................................................................................................................7
CyberArk...................................................................................................................................................................8
©Cyber-Ark Software Ltd. | cyberark.com
2
Pass-the-Hash
Was ist Pass-the-Hash?
Die von Hackern eingesetzten Werkzeuge und Techniken entwickeln sich konstant weiter.
Der Diebstahl von Zugangsdaten bleibt weiterhin Einfallstor Nummer Eins, denn auf
diesem Wege können die Angreifer unerkannt an die wichtigsten Daten eines
Unternehmens gelangen.
Die Pass-the-Hash-Methode ist eine fortgeschrittene Technik des Missbrauchs von Zugangsdaten, die ein
erhebliches Risiko darstellt. Hierbei werden die Zugangsdaten von einem Computer entwendet und für die
Authentifizierung an anderen Zugangspunkten in einem Netzwerk eingesetzt. Bei einem Pass-the-Hash-Angriff
meldet sich der Angreifer statt mit einem Klartext-Passwort mit einem Passwort-Hash an, also dem Wert, der beim
Speichern eines Passwortes generiert wird. Das ursprüngliche Passwort durchläuft eine mathematische Funktion, die
den Passwort-Hash generiert, um die Klartext-Zugangsdaten zu schützen.
Weil bei einem Pass-the-Hash-Angriff Passwörter in der geschützten Hash-Form eingesetzt werden, kann der
Angreifer sich für einen authentifizierten Benutzer ausgeben, ohne das Passwort als Klartext zu kennen. Außerdem
können Angreifer die gestohlenen Hash-Zugangsdaten auf weitere Systeme und Dienste übertragen und sich damit
weitreichendere Zugriffsmöglichkeiten verschaffen. Erlangt etwa ein Angreifer Zugriff auf einen Rechner, an dem ein
Domänen-Administrator angemeldet ist, kann er die Zugangsdaten für den Domänen-Account entwenden und
erlangt so Zugriff auf alle Ressourcen, Rechte und Privilegien des entsprechenden Kontos für die gesamte Domäne.
Auf diese Weise können Angreifer schrittweise ins Zentrum des Unternehmens vordringen.
Jeder Rechner, auf dem Hash-Werte gespeichert sind, kann also zum Einfallstor für einen Pass-the-Hash-Angriff
werden, über den sich Angreifer den Weg zu den wichtigsten und sensibelsten Daten eines Unternehmens bahnen.
Gespeicherte Hash-Werte erzeugen Schwachstellen auf mehreren Systemen im gesamten Netzwerk. Das Diagramm
zeigt, wie ein Angreifer über Pass-the-Hash von einem System aus auf einfache Weise Zugriff auf den DomänenController erlangt.
©Cyber-Ark Software Ltd. | cyberark.com
3
Pass-the-Hash
System 5
user1
System 1
user3
user3
user1
user1
System 4
user1
userX
userY
user5
System 3
user2
user7
user1
user7
user2
System 8
System 2
user5
user5
user2
user6
user8
System 6
user4
System 7
System 9
domain_admin
Domain
Controller
Von System 1 hat Benutzer 1 Zugriff auf System 2, System 3, System 4 und System 5. Ein Angreifer kann
daher von System 1 aus die Hash-Zugangsdaten von Benutzer 1 weitergeben und sich bei jedem
angeschlossenen System authentifizieren. Der Angreifer sucht nach weiteren Hash-Werten, mit denen er
von einem System zum nächsten vordringen und sich dann bei System 9 authentifizieren kann, dem
einzigen Rechner im Diagramm mit Zugriff auf den Domänen-Controller. Bei einem systematisch
durchgeführten Angriff ist das gesamte Netzwerk bedroht, sobald ein Angreifer Zugriff auf einen
privilegierten Passwort-Hash hat.
Pass-the-Hash ist eine ernstzunehmende Bedrohung für Unternehmen, weil diese Methode den Zugang zum
Zentrum des Unternehmens ermöglicht. Solche Angriffe können Sicherheitsvorkehrungen umgehen und
erlauben es den Angreifern, unentdeckt im Netzwerk herumzustreifen.
©Cyber-Ark Software Ltd. | cyberark.com
4
Pass-the-Hash
Schwachstellen aufdecken
Der erste Schritt zur Unterbindung von Pass-the-Hash-Angriffen ist eine Bestandsaufnahme von Accounts und
Systemen, die Schwachstellen für solche Angriffe aufweisen. Ein genaues Bild liefert Discovery & Audit von CyberArk
(CyberArk DNA™), ein eigenständiges, leicht bedienbares Tool, das das gesamte Netzwerk nach Systemen
durchsucht, die tatsächlich oder potenziell durch Pass-the-Hash-Angriffe verwundbar sind. Das Tool beantwortet
folgende Fragen:
§§ Welche Systeme sind durch Pass-the-Hash verwundbar?
§§ Wie kann ein Angriff auf ein Unternehmen aussehen?
§§ Von welchen Benutzerkonten können Pass-the-Hash-Angriffe gestartet werden, die eine Gefährdung für das
Unternehmen darstellen?
§§ Welche Rechner sind besonders gefährdet und sollten zuerst behandelt werden?
§§ Wie entstehen Schwachstellen und wie lassen sich die Risiken mindern?
Außer Pass-the-Hash-Schwachstellen zeigt CyberArk DNA auch die Größenordnung auf, in der sich das
Sicherheitsrisiko durch privilegierte Benutzerkonten bewegt. Häufig liegt hier die Hauptursache für nicht bestandene
Audits und hochentwickelte gezielte Angriffe. Das innovative Analyse-Tool durchsucht mit zum Patent angemeldeter
Technologie das Netzwerk eines Unternehmens automatisch nach:
§§ Daten, die sich auf privilegierte Accounts beziehen
§§ Mögliche Schwachstellen für Zugangsdaten-Diebstahl
Nach Abschluss des Scan-Vorgangs erhalten die Prüfer und Sicherheitsmanager einen ausführlichen Bericht zum
Status der privilegierten Konten, wobei für jedes Konto die relevanten Compliance-Informationen und
Schwachstellen hervorgehoben werden.
©Cyber-Ark Software Ltd. | cyberark.com
5
Pass-the-Hash
DNA-Report
Der DNA-Report liefert umfassende, detaillierte Informationen über Systeme und Benutzerkonten und den
Gefährdungsstatus des Unternehmens in Bezug auf Pass-the-Hash-Angriffe. Für Pass-the-Hash enthält der Report
ein übersichtliches Dashboard, das umfassende Informationen über gefährdete Zugangsdaten liefert.
©Cyber-Ark Software Ltd. | cyberark.com
6
Pass-the-Hash
Gefahren reduzieren
Bei Pass-the-Hash-Angriffen wird die Schwachstelle von Microsoft Windows ausgenutzt, dass kein Salt-Verfahren für
Passwort-Hash-Werte eingesetzt wird und diese daher statisch bleiben, bis das Passwort manuell geändert wird.
Microsoft hat diese Schwachstelle erkannt und einen Report veröffentlicht, der auf die Gefahren von Pass-the-HashAngriffen hinweist und erläutert, weshalb kein entsprechendes Sicherheits-Update erfolgen kann.1
Microsoft empfiehlt, Domänen-Accounts mit hohen Privilegien sowie lokale Konten mit administrativen Privilegien
mit Auflagen zu versehen und zu schützen. CyberArk bietet zum Schutz vor Pass-the-Hash-Angriffen ein
umfassendes Paket von Sicherheitslösungen für privilegierte Benutzerkonten, das genau auf diese Anforderungen
zugeschnitten ist.
Mit folgenden Maßnahmen lassen sich die Risiken von Pass-the-HashAngriffen verringern:
§§ Die „Schlüssel zum Tresor“ unter Kontrolle halten CyberArk Enterprise Password Vault® generiert ein
personenbezogenes Passwort für jeden privilegierten Benutzer und jedes generische Konto und beschränkt
so den Zugriff auf autorisierte Benutzer. Dies reduziert das Risiko, weil sich keine unbefugten Personen oder
Angreifer Zugriff auf Hash-Werte für privilegierte Konten und Benutzerpasswörter verschaffen können.
§§ Passwörter regelmäßig ändern. Privilegierte Passwörter sollten möglichst oft geändert werden, um das
Zeitfenster für einen möglichen Missbrauch von Hash-Werten möglichst klein zu halten. Mit CyberArk
Enterprise Password Vault® lassen sich Passwörter entsprechend den Unternehmensrichtlinien automatisch
regelmäßig ändern. Die Sicherheitslösung von CyberArk für privilegierte Benutzerkonten arbeitet auch mit
Einmal-Passwörtern für unternehmenskritische privilegierte Benutzerkonten.
§§ Realisierung und Umsetzung einer Least-Privilege-Sicherheitsstrategie. Der CyberArk On-Demand
Privileges Manager™ erzwingt eine Reduzierung administrativer Rechte bei den Benutzern durch die Aktivierung
von Rechten auf Anfrage. Das erschwert den Missbrauch von Hash-Werten, weil die Benutzer von vornherein
geringere Admin-Rechte auf den lokalen Systemen haben.
§§ Isolierung von privilegierten Sitzungen. Der CyberArk Privileged Session Manager® fungiert als Proxy
zwischen Administrator- und Zielsystemen, schützt damit die Zugangsdaten für privilegierte Accounts und
sorgt dafür, dass sie nicht an potenziell verwundbare Endpunkte gelangen. Der Privileged Session Manager
verhindert, dass privilegierte Zugangsdaten an Endpunkten ausgelesen werden können. So sinkt auch das
Risiko, dass diese bei einem Angriff verwendet werden, der sich auf gestohlene Zugangsdaten stützt.
Pass-the-Hash ist eine Angriffsmethode, die sich immer stärker verbreitet und deren Gefährdungspotenzial für
Unternehmen daher zunimmt. Diese Bedrohung zu erkennen, ist daher der erste Schritt zur Reduzierung des Risikos
derartiger Angriffe. CyberArk bietet ein umfassendes Lösungsprogramm, mit dem Sie schnell feststellen können,
welche Systeme potenziell bedroht sind, und Angriffen frühzeitig vorbeugen können.
1
““Mitigating Pass-the-Hash (PtH) and Other Credential Theft Techniques”, http://www.microsoft.com/en-us/download/details.aspx?id=36036 “
©Cyber-Ark Software Ltd. | cyberark.com
7
Alle Rechte vorbehalten. Die in diesem Dokument beschriebenen Informationen und Konzepte sind Eigentum von
CyberArk Software.
Dieses Dokument darf ohne vorherige schriftliche Zustimmung von
CyberArk Software Ltd. weder ganz noch in Teilen elektronisch, mechanisch oder durch Fotokopierer, Scanner,
Aufnahmegeräte oder sonstige Techniken reproduziert, zum Download bereitgestellt oder übertragen werden.
©2000–2014 by CyberArk® Software Ltd. Alle Rechte vorbehalten.