Pass-the-Hash (PtH) ist eine der bekanntesten und gefährlichsten Angriffstechniken in Active Directory (AD) Umgebungen. Dieser Angriff ermöglicht es Angreifern, sich ohne Kenntnis des Klartextpassworts Zugang zu verschaffen, indem sie einfach den Hash des Passworts verwenden. Heute schauen wir uns einige präventive Maßnahmen für AD-Administratoren an, um ihre Netzwerke zu schützen.
Was ist Pass-the-Hash?
Pass-the-Hash ist eine Technik, bei der ein Angreifer die Hash-Werte von Passwörtern stiehlt und diese nutzt, um sich als berechtigter Benutzer zu authentifizieren. Hash-Werte sind kryptografische Abdrücke eines Passworts, die in Windows-Systemen zur Authentifizierung verwendet werden.
Einmal im Besitz eines gültigen Hashes, kann der Angreifer diesen verwenden, um auf Ressourcen zuzugreifen, als wäre er der legitime Benutzer. Dies beitet eine hervorragende Grundlage für Pass-the-Ticket-Angriffe und der Platzierung von Skeleton Keys, um dauerhaften Zugriff auf das Admin-Konto zu gewährleisten.
Eine Übersicht über weitere Active Directory Angriffsvektoren finden Sie hier: “10 Schwachstellen, die Ihr Active Directory verwundbarer machen“
Wie funktioniert ein Pass-the-Hash-Angriff?
1. Erstzugriff erlangen
Der Angreifer benötigt zunächst Zugang zu einem System, auf dem er administrative Rechte erlangen kann. Dies kann durch Phishing, Exploits oder andere Formen von Social Engineering geschehen.
2. Hash-Dumping
Nach dem Erhalt von Administratorrechten kann der Angreifer Tools wie Mimikatz verwenden, um die Hash-Werte von Passworten aus dem Speicher zu extrahieren. Diese Hashes werden in der SAM (Security Account Manager), im ADS (Active Directory Service) oder in dem LSASS-Prozess (Local Security Authority Subsystem Service) gespeichert.
3. Pass-the-Hash
Mit den gestohlenen Hashes kann der Angreifer sich dann als der betroffene Benutzer authentifizieren, indem er den Hash direkt an die Authentifizierungsmechanismen weiterleitet. Dies umgeht die Notwendigkeit des Klartextpassworts vollständig.
Präventive Maßnahmen
1. Minimierung von Administratorrechten
Die Begrenzung von Administratorrechten ist eine der effektivsten Methoden, um das Risiko von PtH-Angriffen zu verringern. Verwenden Sie das Prinzip des geringsten Privilegs und stellen Sie sicher, dass Benutzer nur die Rechte haben, die sie unbedingt benötigen.
2. Implementierung von LAPS
Das Local Administrator Password Solution (LAPS) von Microsoft ermöglicht es, lokale Administratorpasswörter regelmäßig und automatisch zu ändern. Dadurch wird verhindert, dass ein statisches Passwort verwendet wird, das potenziell für PtH-Angriffe missbraucht werden kann.
3. Härtung von Endpunkten
Stellen Sie sicher, dass alle Endpunkte durch aktuelle Sicherheitsupdates und Patches geschützt sind. Die Verwendung von Endpoint Detection and Response (EDR) Lösungen kann helfen, verdächtige Aktivitäten frühzeitig zu erkennen.
4. Netzwerksegmentierung
Durch die Segmentierung des Netzwerks können Sie die Bewegungsmöglichkeiten eines Angreifers einschränken. Sensible Bereiche des Netzwerks sollten isoliert und nur für autorisierte Benutzer zugänglich sein.
5. Überwachung und Logging
Implementieren Sie umfassende Überwachungs- und Logging-Mechanismen, um verdächtige Aktivitäten schnell zu erkennen. SIEM-Systeme (Security Information and Event Management) können dabei helfen, ungewöhnliche Muster in den Anmeldeversuchen zu identifizieren.
6. Multi-Faktor-Authentifizierung (MFA)
Die Einführung von MFA kann die Gefahr von PtH-Angriffen erheblich reduzieren, indem ein zusätzlicher Sicherheitsfaktor zur Authentifizierung benötigt wird, der über den gestohlenen Hash hinausgeht.
Weitere Sicherheitsmaßnahmen für Ihr Active Directory finden Sie hier: “Active Directory Security Best Practices“
7. Nicht im LSA-Cache sein
Einem nackten Mann greift man nicht in die Tasche. Wenn ich mich so bewege, dass ich nicht im LSA-Cache gespiechert bin, ist ein Dumpen immer erfolglos. Hilfreich kann hier beispielsweise die Gruppe “Protected Users” sein. Ebenso kann der Remote Credential Guard eine Hilfe sein.
Aber wie kann ich nun PtH-Angriffe erkennen und abwehren?
1. Implementierung von Windows Defender Credential Guard
Windows Defender Credential Guard nutzt Virtualisierungstechnologie, um Anmeldeinformationen zu isolieren und zu schützen, sodass selbst ein kompromittierter Administratorprozess nicht auf die Credentials zugreifen kann. Dies bietet einen erheblichen Schutz gegen PtH-Angriffe.
Um Credential Guard über eine Gruppenrichtlinie zu aktivieren, können Sie die folgenden Schritte durchführen:
- Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC).
- Erstellen Sie eine neue GPO oder bearbeiten Sie eine vorhandene.
- Navigieren Sie zu: Computerkonfiguration -> Administrative Vorlagen -> System -> Device Guard
- Aktivieren Sie die Richtlinie “Credential Guard aktivieren” und setzen Sie sie auf “Enabled with UEFI lock”.
Beispiel für ein PowerShell-Skript:
# Enable Credential Guard with UEFI lock
Invoke-Command -ComputerName “RemotePC” -ScriptBlock {
reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard” /v EnableVirtualizationBasedSecurity /t REG_DWORD /d 1 /f
reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard” /v RequirePlatformSecurityFeatures /t REG_DWORD /d 1 /f
reg add “HKLM\System\CurrentControlSet\Control\Lsa” /v LsaCfgFlags /t REG_DWORD /d 1 /f
}
2. Verwendung von Protected Users Security Group
Die Protected Users Sicherheitsgruppe in Active Directory kann verwendet werden, um die Angriffsfläche für hochprivilegierte Konten zu reduzieren. Mitglieder dieser Gruppe können nicht über NTLM-Authentifizierung oder Kerberos-Ticket-Weitergabe angegriffen werden, da ihre Anmeldeinformationen niemals zwischengespeichert werden.
3. Kerberos Armoring (Flexible Authentication Secure Tunneling – FAST)
Kerberos Armoring verbessert die Sicherheit von Kerberos durch die Verwendung von TLS, um eine sichere Verbindung zwischen dem Client und dem Kerberos Distribution Center (KDC) zu gewährleisten. Dadurch wird die Authentifizierung robuster und weniger anfällig für Angriffe.
4. Beschränkung von NTLM-Verwendung
Durch die Beschränkung oder Deaktivierung von NTLM (ein weniger sicheres Authentifizierungsprotokoll) können Sie das Risiko von PtH-Angriffen weiter reduzieren. Stellen Sie sicher, dass alle Systeme und Anwendungen auf Kerberos-basierte Authentifizierung umgestellt sind.
Erkennung von PtH-Aktivitäten
Anomalieerkennung bei Anmeldeversuchen
Ungewöhnliche Anmeldeaktivitäten, wie etwa Anmeldungen von mehreren Systemen in kurzer Zeit oder von ungewöhnlichen geografischen Standorten, können Indikatoren für einen PtH-Angriff sein. Verwenden Sie SIEM-Lösungen, um solche Anomalien zu erkennen und zu analysieren.
Überwachung von LSASS-Zugriffen
Tools wie Mimikatz benötigen Zugriff auf den LSASS-Prozess, um Anmeldeinformationen zu extrahieren. Die Überwachung von Zugriffen auf LSASS kann helfen, potenzielle Angreifer frühzeitig zu identifizieren. Verwenden Sie Lösungen, die verdächtige Zugriffe oder Speicherabfragen an LSASS erkennen können.
Überwachung von LSASS Zugriffen via PowerShell:
# Script to monitor LSASS access
$filter = @”
<QueryList>
<Query Id=”0″ Path=”Security”>
<Select Path=”Security”>
*[System[(EventID=4656) and (EventData[Data[@Name=’ObjectName’]=’\\Device\\LSASS’)]]]
</Select>
</Query>
</QueryList>
“@
Register-ObjectEvent -InputObject (Get-WinEvent -FilterXml $filter) -EventName “EventRecordWritten” -Action {
$event = $Event.SourceEventArgs.NewEvent
Write-Output “Potential LSASS access detected: $($event.TimeCreated) by $($event.Properties[18].Value)”
}
Logon Session Enumeration
Überwachen Sie Logon Sessions auf ungewöhnliche Aktivitäten. Das Auftreten von mehreren Sessions desselben Benutzers auf verschiedenen Hosts kann ein Hinweis auf PtH-Angriffe sein. Tools wie Sysinternals’ PsLoggedOn können dabei unterstützen.
Fazit
Pass-the-Hash Angriffe stellen eine ernsthafte Bedrohung für Active Directory Umgebungen dar. Durch die Kombination von präventiven Maßnahmen wie der Minimierung von Administratorrechten, der Implementierung von LAPS und der Netzwerksegmentierung können Unternehmen das Risiko solcher Angriffe signifikant reduzieren. Die Anwendung fortgeschrittener Sicherheitsmaßnahmen wie Credential Guard, Protected Users und PAWs bieten zusätzlichen Schutz. Kontinuierliche Überwachung und die Anwendung von Best Practices im Bereich der IT-Sicherheit sind unerlässlich, um die Integrität und Sicherheit Ihrer AD-Umgebung zu gewährleisten.
Wie IQunit Sie unterstützen kann
Als langjährige IT-Experten bieten wir IT-Schulungen für Professionals. Im Rahmen unserer 5-tägigen Essential Active Directory 2025 Schulung lernen Sie die Bereinigung, Optimierung und Transition eines Active Directory auf Domain Controller mit dem Betriebssystem Windows Server 2025.
Mehr zu unserem Workshop erfahren Sie hier: Essential Active Directory 2025 Schulung