Nach Typo3-Lücke: Hochkonjunktur beim Hash-Cracking

Der Betreiber der Website hashcrack.com verzeichnet seit gestern einen "Boom" bei der Nutzung des Online-Dienstes zum Knacken von MD5-Hashes. Die Zugriffszahlen hätten sich innerhalb von zwei Tagen rund verzehnfacht. Vermutlich steht der Anstieg im Zusammenhang mit einer kritischen Sicherheitslücke im weit verbreiteten Content-Management-System Typo3. Um sie auszunutzen, muss ein Angreifer das zu einem MD5-Hash gehörige Passwort herausbekommen. Ist ein Angreifer einmal an den Hash des Admin-Passwortes gelangt, kann er die Inhalte der Website beliebig manipulieren. Auf diese Weise veränderten Unbekannte beispielsweise die Internetpräsenz von Innenminister Wolfgang Schäuble und des Fußballvereins FC Schalke 04.

Da die Typo3-Hashes kein sogenanntes Salz enthalten – einen Zufallsanteil, der gewisse Knackmethoden vereitelt – lassen sich die Passwörter mit Hilfe von Regenbogentabellen und Hashdatenbanken wie hashcrack.com innerhalb weniger Minuten bis Tage berechnen. Regenbogentabellen erreichen je nach Zeichenvorrat und Länge der anvisierten Passwörter sowie der gewünschten Erfolgsquote eine Größe von mehreren hundert Gigabyte. Ihre Berechnung benötigt teils Monate auf spezieller Hardware, doch einmal erstellt lassen sie sich für alle ungesalzenen Hashes verwenden.

Auch andere Webseiten wie die Portale milw0rm und GDataOnline bieten ein solches Hash-Cracking an. Sie können größtenteils mit mehreren Hash-Typen umgehen, etwa auch Microsofts NTLM- und LM-Hashes und SHA1. Auf freerainbowtables.com beispielweise gibt es Regenbogentabellen für diverse Hashes und Passworttypen zum kostenlosen Download. Eines der bekanntesten Knackprogramme ist das Tool ophcrack.

Siehe dazu auch:

• Karsten Nohl, Kunterbuntes Schlüsselraten, Von Wörterbüchern und Regenbögen, Hintergrundartikel auf heise Security
• Lücke in Typo3 ermöglicht Zugriff auf beliebige Dateien
• Website von Wolfgang Schäuble über Typo3-Lücke gehackt
• Hacker manipulieren Schalke-Seite

(cr)