Weitergereicht - Pass-The-Hash-Angriffe gegen Windows
Wenn man NTLM- oder LM-Hashes aus einem System extrahieren kann, muss man die nicht unbedingt knacken, um sie danach zu verwenden. Oft kann man sie auch direkt weiterverwenden.
Passwörter knacken ist aufwändig und langwierig. Doch häufig braucht man gar nicht das Klartext-Passwort, um Zugang zu einem Dienst zu erhalten. Etwa im Rahmen von Single-Sign-On-Sitzungen genügt es oft, das gehashte Passwort zu liefern. Mit fertigen Tools kann man die in Form von LM- oder NTLM-Hashes aus dem Windows LSASS-Dienst extrahieren und anschließend – unter Umständen auch an einem anderen System – wieder importieren, um sich Zugang unter einer fremden Identität zu verschaffen.
Bashar Ewaida beschreibt die Grundlagen von Pass-The-Hash-Angriffen und hat verschiedene Tools getestet, mit denen sie sich erfolgreich durchführen lassen. Darüber hinaus diskutiert er mögliche Gegenmaßnahmen. Ein Tipp: Wer sich bereits mit herkömmlichen Angriffen auf Passwörtern auskennt, kann den etwas länglichen, ersten Teil zügig überfliegen, um schneller zum spannenden Teil ab Kapitel 3 zu kommen.
Pass-the-hash attacks: Tools and Mitigation, von Bashar Ewaida (PDF) (ju)