Seite 3: Ping Pong

Inhaltsverzeichnis

Ping Pong

Ist der lokale Zugriff auf ein System nicht möglich, kann LC4 auch im Netzwerk mitlauschen, um die Hashes aus Anmeldeinformationen zu gewinnen. Zur Benutzer-Authentifizierung im Netzwerk sendet der Domänen-Controller (DC) einen 8-Byte-langen pseudo-zufälligen Wert (Challenge) über das Netzwerk an den Client. Sowohl der LM-Hash, als auch der NTLM-Hash, werden mit 5 Nullen auf 21 Bytes erweitert und in drei Schlüssel à 56-Bit aufgeteilt. NT chiffriert die Challenge mit jedem Schlüssel einmal und sendet die drei 8-Byte-Ketten als 24-Byte-Response an den DC zurück. Der DC führt die gleiche Prozedur durch und vergleicht die Antwort des Clients mit dem eigenen Resultat. Sind diese identisch, hat der Benutzer das richtige Passwort eingegeben.

Anhand der übertragenen Challenge und Response versucht LC4, Rückschlüsse auf das Passwort zu ziehen. Mit einer Wörterbuch- oder Brute-Force-Attacke versucht es, das Passwort zu ermitteln, indem es die unverschlüsselt vom DC gesendete Challenge mit Hashes verschlüsselt, bis sie mit der Response identisch ist.

Auch hier versucht ein Angreifer zuerst die schneller berechenbare LM-Response nachzubilden. Windows hilft hier sogar: Aus Kompatibilitätsgründen antworten Windows-Clients in der Grundeinstellung auf eine Challenge sowohl mit einer LM-, als auch mit einer NTLM-Response. Mit der LM-Kette errechnet man das LM-Passwort und variiert dann dessen Groß- und Kleinschreibung, um auch das NTLM-Passwort zu rekonstruieren. Seit Service Pack 4 für Windows NT 4.0 kann man den Kompatibilitätsmodus abschalten und nur noch NTLM-Antworten zulassen.