Pass-the-Hash. Lösungsprofil

Transkript

1 Lösungsprofil

2 Was ist Pass-the-Hash? Die Werkzeuge und Techniken, die Hacker nutzen, um ein Unternehmen zu infiltrieren, entwickeln sich kontinuierlich weiter. Doch auch der Diebstahl von Anmeldedaten ist eine permanente Gefahr, zumal kompromittierte Anmeldedaten den unbemerkten Zugriff auf die wichtigsten Ressourcen eines Unternehmens erleichtern. Pass-the-Hash, eine Angriffsmethode, die von gestohlenen Anmeldedaten Gebrauch macht, kommt häufig bei komplexen Angriffen zum Einsatz und stellt ein erhebliches Risiko für Unternehmen dar. Bei dieser Methode gelangt ein Angreifer in Besitz der Anmeldedaten eines Computers und verwendet diese zur Authentifizierung an anderen Zugriffspunkten in einem Netzwerk. Anstelle von Klartextpasswörtern ermöglichen Pass-the-Hash-Angriffe die Authentifizierung mithilfe von Passwort-Hashes. Ein Passwort-Hash ist der Wert, der generiert wird, wenn das ursprüngliche Passwort mit einer mathematischen Einwegfunktion zum sicheren Speichern umgewandelt wird. Da bei einem Pass-the-Hash-Angriff Passwörter in geschützter Hash-Form genutzt werden, kann ein Angreifer einen authentifizierten Benutzer imitieren, ohne das Passwort im Klartext zu kennen. Angreifer können gestohlene, gehashte Anmeldedaten zudem an andere Systeme und Dienste übergeben (engl. pass ), um noch breitere und tiefere Zugriffsebenen zu erreichen. Erhält ein Angreifer zum Beispiel Zugriff auf ein System, auf dem ein Domänenadministrator angemeldet ist, kann der Angreifer die Anmeldedaten für das Domänenadministratorkonto stehlen und damit auf alle Ressourcen, Rechte und Berechtigungen dieses Kontos in der gesamten Domäne zugreifen. Auf diese Weise gelangen Angreifer auf ihrem Weg zum Domänencontroller Schritt für Schritt vorwärts. Somit kann jedes System mit gespeicherten Hashes einen Einstiegspunkt für einen Pass-the-Hash-Angriff bieten, bei dem kritische und sensible Daten eines Unternehmens abgegriffen werden. Gespeicherte Hashes verursachen Schwachstellen auf mehreren Systemen in einem Netzwerk. Das folgende Diagramm zeigt, wie sich ein Angreifer mit einem Pass-the-Hash-Angriff auf ein System leicht Zugriff auf den Domänencontroller verschaffen kann. Von System 1 hat Benutzer 1 Zugriff auf System 2, System 3, System 4 und System 5. Dadurch kann ein Angreifer über System 1 die gehashten Anmeldedaten von Benutzer 1 übergeben und sich an den verbundenen Systemen authentifizieren. Der Angreifer sucht nach weiteren Hashes, mit denen er von System zu System gelangt, bis er sich schließlich an System 9, dem einzigen Computer im Diagramm mit Zugriff auf den Domänencontroller, authentifizieren kann. Hat sich ein Angreifer mit einem systematischen Ansatz Zugriff auf den Hash eines privilegierten Passworts verschafft, kann das gesamte Netzwerk in Gefahr sein. System 5 System 1 Benutzer3 Benutzer3 BenutzerX System 4 Benutzer5 BenutzerY System 3 Benutzer2 System 2 Benutzer7 Benutzer5 Benutzer7 Benutzer5 System 8 Benutzer6 Benutzer2 Benutzer2 Benutzer8 System 6 Benutzer4 System 7 System 9 Domänenadministrator Domänencontroller Cyber-Ark Software Ltd. cyberark.com 2

3 Pass-the-Hash stellt eine erhebliche Bedrohung für Unternehmen dar, da diese Angriffsmethode auf das Herz des Unternehmens abzielen kann, wenn Passwörter und ihre Hashes nicht ordnungsgemäß verwaltet werden. Diese Angriffe ermöglichen die unbemerkte Navigation durch ein Netzwerk, weshalb es schwierig ist, sie zu erkennen. Ermittlung der Pass-the-Hash-Anfälligkeit Der erste Schritt zur Minderung des Risikos von Pass-the-Hash-Angriffen besteht darin, die für solche Angriffe anfälligen Konten und Systeme zu ermitteln. Ein genaues Bild der Situation ermöglicht Discovery & Audit von CyberArk (CyberArk DNA ), ein eigenständiges und einfach zu bedienendes Tool, das das Netzwerk scannt und Systeme mit potenzieller Anfälligkeit für Pass-the- Hash-Angriffe erkennt. Das Tool greift folgende Fragen auf: Welche Systeme sind anfällig für Pass-the-Hash? Wie kann ein Angriff in einem Unternehmen erfolgen? Mit welchen Konten kann ein Pass-the-Hash-Angriff gestartet werden und das Unternehmen gefährden? Welche Systeme sind besonders gefährdet und sollten vorrangig geschützt werden? Was verursacht die Anfälligkeit der Systeme und wie können die Risiken verringert werden? Neben der Pass-the-Hash-Anfälligkeit ermittelt CyberArk DNA das Ausmaß des Privileged-Account-Sicherheitsrisikos, das häufig die Ursache nicht bestandener Audits sowie komplexer, gezielter Angriffe bildet. Verringerung der Gefahr von Pass-the-Hash-Angriffen Pass-the-Hash-Angriffe nutzen die Tatsache, dass Passwort-Hashes in Microsoft Windows-Umgebungen nicht mit einem Salt versehen werden und daher statisch bleiben, bis das Passwort manuell geändert wird. Microsoft hat diese Schwachstelle erkannt und einen Bericht veröffentlicht, der die Gefahren von Pass-the-Hash hervorhebt und sich mit der Frage befasst, warum Microsoft kein Update zur Lösung dieses Problems herausgeben kann. Um einen Pass-the-Hash-Angriff durchzuführen, muss ein Angreifer den Perimeter durchbrechen und anschließend die Passwort- Hashes abrufen. Der Hash-Abruf kann mit einer Reihe verschiedener Methoden erfolgen, wie etwa durch Hash-/Credential- Dumping von Security Account Manager (SAM) durch eine beliebige Person mit administrativen Rechten, durch Dumping von im Prozess lsass.exe gespeicherten Anmeldedaten und durch Ausspähen der LM- und NTLM-Challenge-Response-Dialoge zwischen Clients und Servern. Um das Risiko von Pass-the-Hash-Angriffen zu reduzieren, sollten Unternehmen eine umfassende Abwehrstrategie implementieren. Der Bericht von Microsoft beinhaltet zwei primäre Empfehlungen zur Verringerung der Gefahr von Pass-the-Hash- Angriffen, nämlich die Beschränkung und den Schutz von privilegierten Domänenkonten und die Beschränkung und den Schutz lokaler Konten mit administrativen Rechten. Basierend auf diesen Empfehlungen bieten die Lösungen von CyberArk eine umfassende Suite von Sicherheitslösungen für privilegierte Konten zum Schutz vor Pass-the-Hash-Angriffen. Cyber-Ark Software Ltd. cyberark.com 3

4 Best Practices zur Verringerung der Gefahr von Pass-the-Hash-Angriffen Kontrolle und Verwaltung der Schlüssel zum Allerheiligsten CyberArk Enterprise Password Vault kann das Risiko durch Erstellung einzigartiger Passwörter für jeden privilegierten Benutzer und jedes Dienstkonto sowie Begrenzung des Zugriffs auf autorisierte Benutzer verringern. Dadurch sinkt die Wahrscheinlichkeit, dass sich nicht autorisierte Benutzer Zugang zu den Hashes und Benutzerpasswörtern privilegierter Konten verschaffen. Selbst wenn ein Angreifer in Besitz eines Hashes gelangt, kann er weniger damit anfangen, da jeder Hash eines privilegierten Kontos einzigartig ist. Passwörter häufig ändern. Privilegierte Passwörter sollten so oft wie möglich rotiert werden, um einen möglichen Missbrauch von Hashes zu verhindern. So können Passwörter mithilfe von CyberArk Enterprise Password Vault gemäß der Unternehmenspolitik in regelmäßigen Abständen automatisch geändert werden. Die CyberArk Privileged Account Security Lösung kann außerdem Einmalpasswörter für unternehmenskritische privilegierte Konten erstellen. Lokale Administratorrechte entziehen. CyberArk Viewfinity ermöglicht Unternehmen den Entzug der Administratorrechte lokaler Konten und die Durchsetzung von Least-Privilege-Richtlinien. Der Entzug lokaler Administratorrechte kann dazu beitragen, dass ein Angreifer, selbst wenn er das lokale Konto kompromittiert, nicht die zum Abrufen der Hashes und Durchführen eines Pass-the- Hash-Angriffs erforderlichen Rechte erhält. Privilegierte Sessions isolieren. CyberArk Privileged Session Manager fungiert als Proxy zwischen dem Administratorsystem und dem Zielrechner. Die Lösung schützt die Anmeldedaten der privilegierten Konten und stellt sicher, dass diese nicht über mögliche Schwachstellen abgegriffen werden. CyberArk Privileged Session Manager verhindert die Offenlegung privilegierter Anmeldedaten an Endpunkten und senkt somit das Risiko, dass sie bei einem Diebstahl zur Einleitung eines Pass-the-Hash- Angriffs genutzt werden. Bedrohungen schnell erkennen. CyberArk Privileged Threat Analytics analysiert den Kerberos-Datenverkehr, um laufende Angriffe zu erkennen. Durch die gezielte Bedrohungserkennung für Privileged-Account-Aktivitäten und kritische Angriffsvektoren können Unternehmen auf mögliche Vorfälle, wie Diebstahl von Anmeldedaten, aufmerksam gemacht werden und schnell auf Bedrohungen reagieren, bevor diese größeren Schaden verursachen. 1 Mitigating Pass-the-Hash (PtH) and Other Credential Theft Techniques, Cyber-Ark Software Ltd. cyberark.com 4

5 Fallstudie: Verringerung der Gefahr von Pass-the-Hash mit CyberArk Viewfinity VORHER Ein Unternehmen verfügt über kein ausgereiftes Sicherheitskonzept. Alle Mitarbeiter haben auf ihren Workstations Zugriff auf lokale Administratorkonten und machen häufig von diesen Konten Gebrauch. In dieser Situation könnten sich Angreifer mittels Phishing leicht Zugang zu einer Workstation verschaffen und von dort aus Hashes des Domänenadministrators aus der SAM-Datenbank abrufen, da sie über umfassende Benutzerrechte verfügen. NACHHER Mit CyberArk Viewfinity beseitigt das Unternehmen fast vollständig die Möglichkeit für Angreifer, Hashes von den Endpunkten des Unternehmens abzurufen, da diese nicht an die dafür erforderlichen Rechte kommen. Durch den Entzug lokaler Administratorrechte senkt das Unternehmen die Gefahr von Pass-the-Hash und verringert deutlich seine allgemeine Angriffsfläche. Fazit Pass-the-Hash ist eine immer häufiger angewandte Cyber-Angriffsmethode und bereitet Unternehmen zunehmend Sorge. Um die Gefahr von Pass-the-Hash-Angriffen verringern zu können, muss die Bedrohung zunächst verstanden und ermittelt werden. Die breit gefächerten Lösungen von CyberArk können Unternehmen bei der Bestimmung von Systemen helfen, die anfällig für Pass-the-Hash-Angriffe sind. Mit CyberArk Privileged Account Security können sie die Risiken dieser Angriffe verringern. Cyber-Ark Software Ltd. cyberark.com 5

6 All rights reserved. This document contains information and ideas, which are proprietary to Cyber-Ark Software Ltd. No part of this publication may be reproduced, stored in a retrieval system, or transmitted, in any form or by any means, electronic, mechanical, photocopying, recording, scanning or otherwise, without the prior written permission of Cyber-Ark Software Ltd by Cyber-Ark Software Ltd. All rights reserved.