Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Authentifizierung in Windows 10: Das Ende von Pass-the-Hash-Angriffen?

Im Laufe des letzten Jahres deutete Microsoft bereits mehrfach an das bisherige Authentifizierungssystem in Windows 10 überarbeiten zu wollen. Für das neue Betriebssystem sollten eine Mehrfaktor-Authentifizierung und FIDO unterstützt werde....
Michael Buckbee
3 minute gelesen
Veröffentlicht 25. September 2015
Letzte aktualisierung 29. Oktober 2021

Im Laufe des letzten Jahres deutete Microsoft bereits mehrfach an das bisherige Authentifizierungssystem in Windows 10 überarbeiten zu wollen. Für das neue Betriebssystem sollten eine Mehrfaktor-Authentifizierung und FIDO unterstützt werde. Zusätzlich war eine Virtualisierungstechnologie zum sicheren Speichern von Zugangsdaten geplant. Mit dem allgemeinen Verkaufsstart von Windows 10 Ende Juli ist das große Geheimnis nun endlich gelüftet worden.

Gehärtete Authentifizierung
Am besten lesen Sie als erstes die Ankündigung des Unternehmens im Microsoft-Blog vom 28. Juli. In Punkt eins der Aufzählung wird „Windows Hello“ angekündigt, das neue, passwortfreie Authentifizierungssystem, das mit Fingerabdruck, Gesichts- oder Iris-Erkennung arbeitet. Hello unterstützt zusätzlich den offenen FIDO-Standard.

An dieser Stelle erwähnt Microsoft „Credential Guard“, beschrieben als eine Möglichkeit, „Unternehmensidentitäten zu schützen, indem sie in der hardwarebasierten, sicheren Umgebung vorgehalten werden, in der sie ausgeführt werden.“

Credential Guard muss folglich die Virtualisierungstechnologie nutzen, von der das Unternehmen seit Monaten spricht – beispielsweise in dieser Präsentation, die Nathan Ide von Microsoft auf der diesjährigen RSA Conference gehalten hat.

Um mehr zu erfahren, haben wir den TechNet-Bereich der Microsoft-Website durchforstet und sind dabei auf diesen grundsätzlichen Artikel über Credential Guard gestoßen. Und wir stellten erfreut fest, dass es sich dabei um den langersehnten „Pass-the-Hash-Messias“ handeln musste.

Cred Guard Security

Source: Microsoft

Regelmässige Leser unseres Blogs wissen wahrscheinlich, dass Hacker über Pass-the-Hash (und Pass-the-Ticket bei Kerberos) Zugangsdaten im Speicher direkt für ihre Zwecke nutzen können. Der Hashwert des Passworts – (zur Erinnerung: Hashfunktionen) – ist die Basis für das Windows NTLM-Protokoll (einem System aus Abfrage und Antwort).

Der Hashwert funktioniert so wie das Passwort selbst: Sie geben ihn einfach ins NTLM-Protokoll ein um auf ein System zuzugreifen. Hacker lieben Pass-the-Hash. Wenn sie sich Zugang zu einem System verschafft haben, müssen sie nämlich nicht erst den Hashwert knacken, um sich die Identität eines Nutzers unter den Nagel zu reißen.

Das sind tolle Neuigkeiten – für Hacker. Aber wie gelangen sie überhaupt an den Hashwert?

Ganz einfach: Windows bewahrt Hashwerte im LSASS-Speicher auf, um sie für Single Sign-on (SSO) bereitzustellen. In einer SSO-Umgebung – also der Computerumgebung, in der sich die meisten von uns bewegen – geben Sie Ihr Passwort nur einmal ein, wenn Sie sich an Ihrem Unternehmens-Laptop anmelden. Wenn Sie auf andere Dienste zugreifen, holt sich Windows einfach das entsprechende Passwort in Hashform aus dem LSASS, damit Sie es nicht erneut eingeben müssen.

Das ist ein Service, den die Nutzer als selbstverständlich erachten. Doch leider ist er gleichzeitig eine enorme Schwachstelle, die Hacker gerne ausnutzen. Penetrationstest-Tools wie Mimikatz greifen beispielsweise auf den LSASS-Speicher zu und erlauben es Cyber-Kriminellen, Zugangsdaten (vorzugsweise von privilegierten Nutzern) zu stehlen und bei der Durchforstung des Zielsystems mehrere Identitäten anzunehmen.

Endlich: Hashwerte nur noch schwer zu bekommen
Microsoft weiß seit vielen, vielen Jahren von dieser Schwachstelle. Man muss dem Unternehmen allerdings zugutehalten, dass es das Problem erkannt und gute Ratschläge gegeben hat, wie sich das Diebstahlrisiko bei Zugangsdaten senken lässt (entsprechende sind beispielsweise in diesem Dokument zu finden).

Und hier kommt schließlich Credential Guard ins Spiel. Die Entwickler von Windows 10 haben den LSASS-Prozess überarbeitet und ihm nun einen eigenen virtuellen Container zugewiesen. Es verwendet also ähnliche Ideen und Techniken wie virtuelle Maschinen, die es einem Hostbetriebssystem ermöglichen, mehrere Gastbetriebssysteme auszuführen. Diese Betriebssysteme sind wie Mini-Universen, die voneinander getrennt sind – außer wenn ganz spezielle Wurmlöcher auftreten. Darauf werde ich gleich noch näher eingehen.

Was passiert also bei Credential Guard?

Bei der Black Hat Conference im August hielten Seth Moore und Baris Saydag von Microsoft eine Präsentation unter dem Titel Defeating Pass-the-Hash und erklärten darin die Implementierungsdetails.

Sämtliche Infos würden den Rahmen dieses Blogs sprengen, nur so viel: Der LSASS-Adressbereich ist jetzt komplett von anderen Nutzerprozessen getrennt. Anwendungen wie Mimikatz kommen nicht mehr an ihn heran. Alle Details können Sie im kompletten Dokument nachlesen – achten Sie dabei besonders auf Begriffe wie „hypervisor“ und „ring level“.

Hier kommt meine eigene Kurzzusammenfassung:

Die Entwickler haben nicht an der LSASS-Programmierlogik gerüttelt, um die Verarbeitung von Zugangsdaten weiterhin zu unterstützen. Der Speicherbereich ist jedoch von anderen Anwendungen getrennt, wobei Credential Guard als Gateway fungiert.

Wurmloch-Technologie
Systemanwendungen und andere Applikationen müssen natürlich weiterhin die Zugangsdaten von Nutzern verifizieren. Das passiert jetzt über eine gut geschützte und authentifizierte Verbindung zu Credential Guard. Sie können sich Credential Guard also als den Wächter am Wurmloch zwischen dem gesonderten Speicherareal und allen anderen Bereichen vorstellen.

Dieser Blog-Eintrag klingt langsam ein bisschen nach Interstellar. Trotzdem, die Technologie ist ziemlich interessant und scheint die Pass-the-Hash-Schwachstelle endlich zu schließen. Es lässt sich also hoffen, dass Pass-the-Hash-Angriffe bald der Vergangenheit angehören, wenn Unternehmen auf Windows 10 Enterprise migrieren – die einzige Version, auf der Credential Guard läuft.

Allerdings sollte man den Erfindungsreichtum von Hackern nicht unterschätzen, wenn es darum geht, Schwachstellen und Zero-Day-Exploits zu finden.

So sind jetzt die Kosten für Pass-the-Hash-Angriffe immens gestiegen. Sie sind nicht unmöglich, doch sie werden weitaus mehr Aufwand erfordern als bisher.

The post Authentifizierung in Windows 10: Das Ende von Pass-the-Hash-Angriffen? appeared first on Varonis Deutsch.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?