Credential Guard – Das Ende von Pass the Hash nach 19 Jahren?

Bachelor Studiengang IT Security

Ing. Markus Seitner, BSc

Betreuer: Dipl.-Ing. Gabor Österreicher, BSc

Ausgangslage

Im Jahr 2013 wurden der amerikanischen Kaufhauskette Target 40 Millionen Kreditkartendaten entwendet. 2015 musste die gesamte IT-Landschaft des Deutschen Bundestags aufgrund eines Hackerangriffs für vier Tage abgeschaltet und komplett neu konfiguriert werden. Beim sogenannten Anunak Bankraub im Jahr 2014 kam es zu einem Angriff auf Banken in mehr als 20 Ländern und dabei wurde über eine Milliarde US-Dollar gestohlen. All diese Angriffe wiesen eine Gemeinsamkeit auf: Es wurden dabei die Angriffsmethoden „Pass the Hash“ bzw. „Pass the Ticket“ verwendet.

Hierbei handelt es sich um eine sogenannte „Credential Theft Technique“ bei Microsoft Betriebssystemen, mit der die Zugangsdaten von Userinnen und Usern gestohlen werden, um damit auf andere Geräte innerhalb einer Organisation Zugriff zu erhalten. Diese Methode wird solange fortgesetzt, bis das gesamte Netzwerk übernommen wurde. Um den Angriff durchführen zu können, muss ein Computer bereits unter der Kontrolle von einem Angreifer bzw. einer Angreiferin sein, indem er/sie diesen zum Beispiel mit Malware infiziert hat. Die meisten Sicherheitsmaßnahmen bei Firmen beschränken sich darauf, den Zugriff von außen zu erschweren. Aber selbst die stärksten Sicherheitsmaßnahmen können durch einen gekaperten Administrator-Account umgangen werden. Diese Angriffsmöglichkeit wurde bereits 1997 vorgestellt. Über die Jahre wurden immer wieder Tools entwickelt, mit denen dieser Angriff leicht durchzuführen ist, ohne die technischen Hintergründe kennen zu müssen. Deshalb wurden in der Vergangenheit „Pass the Hash“ beziehungsweise „Pass the Ticket“-Attacken immer häufiger.

Ziel

Das Ziel dieser Arbeit ist festzustellen, inwieweit es bei den heute am meisten genutzten Windows-Systemen möglich ist, solche Angriffe durchzuführen. Dabei soll auch untersucht werden, welche Schutzmechanismen Microsoft in die verschiedenen Betriebssysteme integriert hat. Ein Schwerpunkt wird dabei auf die neue Funktion „Credential Guard“ gelegt, welche mit den aktuellsten Windows-Versionen (Windows 10 und Server 2016) vorgestellt wurde, und ob solche Attacken damit verhindert werden können.

Ergebnis

Im Zuge dieser Arbeit wird eine Übersicht der aktuellen Schwachstellen bei den Microsoft-Authentifizierungsverfahren dargelegt und wie diese ausgenutzt werden können. Es konnte gezeigt werden, dass das heutzutage am meisten genutzte Client-Betriebssystem Windows 7 so gut wie keinen Schutz gegen diese Angriffe bietet. Je aktueller die Version ist, desto besser ist auch der Schutzmechanismus, aber erst in den neuesten Versionen Windows 10 und Server 2016 ist ein solcher Angriff vorerst nicht mehr möglich.