Weitergereicht - Pass-The-Hash-Angriffe gegen Windows

Wenn man NTLM- oder LM-Hashes aus einem System extrahieren kann, muss man die nicht unbedingt knacken, um sie danach zu verwenden. Oft kann man sie auch direkt weiterverwenden.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 1 Min.

Passwörter knacken ist aufwändig und langwierig. Doch häufig braucht man gar nicht das Klartext-Passwort, um Zugang zu einem Dienst zu erhalten. Etwa im Rahmen von Single-Sign-On-Sitzungen genügt es oft, das gehashte Passwort zu liefern. Mit fertigen Tools kann man die in Form von LM- oder NTLM-Hashes aus dem Windows LSASS-Dienst extrahieren und anschließend – unter Umständen auch an einem anderen System – wieder importieren, um sich Zugang unter einer fremden Identität zu verschaffen.

Bashar Ewaida beschreibt die Grundlagen von Pass-The-Hash-Angriffen und hat verschiedene Tools getestet, mit denen sie sich erfolgreich durchführen lassen. Darüber hinaus diskutiert er mögliche Gegenmaßnahmen. Ein Tipp: Wer sich bereits mit herkömmlichen Angriffen auf Passwörtern auskennt, kann den etwas länglichen, ersten Teil zügig überfliegen, um schneller zum spannenden Teil ab Kapitel 3 zu kommen.

Pass-the-hash attacks: Tools and Mitigation, von Bashar Ewaida (PDF) (ju)