Was ist ein Pass-the-Hash-Angriff?
Ein Pass-the-Hash-Angriff ist eine Art von Cyberangriff, bei dem ein Passwort-Hash von einem Administrator-Computer gestohlen wird. Mit diesem Hash-Wert kann dann Zugriff auf ein ganzes Netzwerk erlangt werden. Das Gute für Hacker ist, dass bei dieser Angriffsart nicht extra ein Passwort gehackt werden muss.
Was ist ein Passwort-Hash?
Um zu verstehen, wie ein Pass-the-Hash-Angriff funktioniert, müssen Sie zunächst wissen, was ein Passwort-Hash ist. Ein Passwort-Hash ist ein Algorithmus, der ein Klartext-Passwort in eine zufällige Folge von Buchstaben und Zahlen umwandelt, die nicht rückgängig gemacht oder entschlüsselt werden kann.
Passwort-Hashs erhöhen die Sicherheit, da Passwörter auf einem Server nicht mehr in Klartext gespeichert werden. Nur der Endbenutzer kennt seine Klartext-Passwörter.
Wie funktionieren Pass-the-Hash-Angriffe?
Bei Pass-the-Hash-Angriffen hackt ein Cyberkrimineller zunächst den Computer eines Administrators. Dies geschieht häufig über Malware durch Social-Engineering-Methoden. Beispielsweise kann einem Administrator eine Phishing-E-Mail gesendet werden, in der er aufgefordert wird, auf einen Anhang oder Link zu klicken. Wenn er auf den Link oder Anhang klickt, wird sofort und ohne sein Wissen Malware heruntergeladen.
Sobald die Malware auf dem Computer des Administrators installiert ist, sammelt der Cyberkriminelle Passwort-Hashes, die auf dem Computer gespeichert sind. Nur ein Passwort-Hash, der zum Konto eines privilegierten Benutzers gehört, reicht bereits schon aus, um das Authentifizierungsprotokoll des Netzwerks oder Systems zu umgehen. Ein Cyberkrimineller kann dann auf vertrauliche Informationen zugreifen, sich seitlich durch ein Netzwerk bewegen und dadurch Zugriff auf andere privilegierte Konten erhalten.
Wer ist besonders anfällig für Pass-the-Hash-Angriffe?
Windows-Rechner sind aufgrund einer Schwachstelle in den Windows-NTLM-Hashes am anfälligsten für Pass-the-Hash-Angriffe. NTLM steht für New Technology Local Area Network Manager und bezeichnet eine Reihe von Sicherheitsprotokollen, die von Microsoft als Single-Sign-On-Lösung angeboten und von vielen Organisationen verwendet werden.
Aufgrund dieser NTLM-Schwachstelle können Hacker Domainkonten mit dem Passwort-Hash nutzen, ohne jemals das tatsächliche Passwort eingeben zu müssen.
Pass-the-Hash-Angriffe abwehren
Privilegierte Zugriffsberechtigungen verwalten
Eine Verwaltung privilegierter Zugriffsberechtigungen (PAM) bezieht sich auf die Sicherung und Verwaltung von Konten, die Zugriff auf hochsensible Systeme und Daten haben. Zu privilegierten Konten zählen Gehaltsabrechnungssysteme, IT-Administratorkonten und Betriebssysteme, um nur einige Wenige zu nennen.
Ein PAM-Dienst hilft Unternehmen dabei, den Zugriff auf privilegierte Konten zu sichern und zu verwalten, indem er das Mindestzugriffsrechteprinzip nutzt (PoLP). Dies ist ein Cybersicherheitskonzept, bei dem Benutzern gerade so viel Zugriff auf die Daten und Systeme gewährt wird, wie sie für ihre Arbeit benötigen. Nicht mehr und nicht weniger. Mit einer PAM-Lösung können Organisationen sicherstellen, dass Benutzer über eine rollenbasierte Zugriffssteuerung (RBAC) nur Zugriff auf die Konten erhalten, die sie benötigen. Organisationen können auch die Verwendung sicherer Passwörter und die Multi-Faktor-Authentifizierung (MFA) erzwingen, um den Schutz von Konten und Systemen weiter zu erhöhen.
Passwörter regelmäßig ändern
Eine regelmäßige Änderung von Passwörtern kann das Risiko eines Pass-the-Hash-Angriffs verringern, da es die Zeit verkürzt, die ein gestohlener Hash gültig ist. Die besten PAM-Lösungen sind umfassende Dienste und verfügen über eine derartige Funktion zur Passwortänderung.
Zero-Trust-Prinzipien anwenden
Bei Zero Trust wird davon ausgegangen, dass alle Benutzer gehackt wurden. Es findet daher eine kontinuierliche Überprüfung der Benutzer-Identitäten statt und der Zugriff auf Netzwerksysteme und Daten wird eingeschränkt. Anstatt allen Benutzern und Geräten in einem Netzwerk implizit zu vertrauen, wird bei Zero-Trust-Prinzipien niemandem vertraut.
Zero-Trust-Prinzipien können Cybersicherheitsrisiken verringern, die Angriffsfläche eines Unternehmens minimieren sowie die Audit- und Konformitätsüberprüfungen verbessern. Mit Zero-Trust-Prinzipien haben IT-Administratoren vollständigen Einblick in alle Benutzer, Systeme und Geräte. Sie können sehen, wer sich mit dem Netzwerk verbindet, von wo aus sie sich verbinden und worauf sie zugreifen.
Regelmäßige Penetrationstests durchführen
Penetrationstests, kurz Pentests genannt, sind simulierte Cyberangriffe auf die Netzwerke, Systeme und Geräte eines Unternehmens. Über regelmäßige Penetrationstests können Schwachstellen aufgedeckt werden, die dann schnell behoben werden können, bevor sie von Cyberkriminellen ausgenutzt werden.
Schützen Sie Ihr Unternehmen mit KeeperPAM® vor Pass-the-Hash-Angriffen
KeeperPAM ist eine fortschrittliche Lösung zur Verwaltung privilegierter Zugriffsberechtigungen. Sie umfasst den Enterprise-Passwortmanager von Keeper (EPM), Keeper Secrets Manager (KSM) und Keeper Connection Manager (KCM) in einer einzigen Plattform, um Ihr Unternehmen vor Cyberangriffen zu schützen.