Hash mich, ich bin der Admin

Pass the Hash als Gefahr für Windows-Netze

Wissen | Know-how

Ambitionierten Angreifern reicht es nicht, den Rechner eines Sachbearbeiters mit einem Flash-Exploit zu kapern. Die wollen die E-Mails des CEO lesen und die wichtigen Server im Netz kontrollieren. Da sind oft Pass-the-Hash-Angriffe das Mittel ihrer Wahl.

Exploits kommen auch bei gezielten Angriffen zum Einsatz, etwa zum Ausspähen von Firmengeheimnissen oder zur Sabotage via Internet. Auf diesem Weg landet der Angreifer aber kaum auf einem zentralen Server mit wichtigen Daten oder einem System zur Steuerung der anvisierten Anlage. Eher findet er sich nach einem erfolgreichen Angriff auf dem Arbeitsplatzrechner einer Sekretärin wieder, die der gut gemachten Phishing-Mail nicht widerstehen konnte.

Von hier aus steht der Angreifer vor der Aufgabe, sich im Netz der attackierten Firma weiterzuhangeln, bis er Zugang zum eigentlichen Ziel erlangt. Wie das im Einzelnen passiert, hängt von den Gegebenheiten ab, die er vorfindet. Eine bewährte Methode, sich zum uneingeschränkten Herrscher eines Windows-Netzes aufzuschwingen, ist der Pass-the-Hash-Angriff – kurz PtH. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Weitere Bilder

  • Wer den Hash kennt, dem spendiert der Exploit-Baukasten Metasploit einen mächtigen Kommandozeilenprompt – ganz ohne Sicherheitslücke.
  • Startet man das Hacking-Tool WCE mit administrativen Rechten, erscheinen als Ergebnis die im Arbeitsspeicher vorhandenen Hash-Werte – auch die des Domain-Admins.

Anzeige
Anzeige