Im Laufe des letzten Jahres deutete Microsoft bereits mehrfach an das bisherige Authentifizierungssystem in Windows 10 überarbeiten zu wollen. Für das neue Betriebssystem sollten eine Mehrfaktor-Authentifizierung und FIDO unterstützt werde. Zusätzlich war eine Virtualisierungstechnologie zum sicheren Speichern von Zugangsdaten geplant. Mit dem allgemeinen Verkaufsstart von Windows 10 Ende Juli ist das große Geheimnis nun endlich gelüftet worden.
Gehärtete Authentifizierung
Am besten lesen Sie als erstes die Ankündigung des Unternehmens im Microsoft-Blog vom 28. Juli. In Punkt eins der Aufzählung wird „Windows Hello“ angekündigt, das neue, passwortfreie Authentifizierungssystem, das mit Fingerabdruck, Gesichts- oder Iris-Erkennung arbeitet. Hello unterstützt zusätzlich den offenen FIDO-Standard.
An dieser Stelle erwähnt Microsoft „Credential Guard“, beschrieben als eine Möglichkeit, „Unternehmensidentitäten zu schützen, indem sie in der hardwarebasierten, sicheren Umgebung vorgehalten werden, in der sie ausgeführt werden.“
Credential Guard muss folglich die Virtualisierungstechnologie nutzen, von der das Unternehmen seit Monaten spricht – beispielsweise in dieser Präsentation, die Nathan Ide von Microsoft auf der diesjährigen RSA Conference gehalten hat.
Um mehr zu erfahren, haben wir den TechNet-Bereich der Microsoft-Website durchforstet und sind dabei auf diesen grundsätzlichen Artikel über Credential Guard gestoßen. Und wir stellten erfreut fest, dass es sich dabei um den langersehnten „Pass-the-Hash-Messias“ handeln musste.
Source: Microsoft
Regelmässige Leser unseres Blogs wissen wahrscheinlich, dass Hacker über Pass-the-Hash (und Pass-the-Ticket bei Kerberos) Zugangsdaten im Speicher direkt für ihre Zwecke nutzen können. Der Hashwert des Passworts – (zur Erinnerung: Hashfunktionen) – ist die Basis für das Windows NTLM-Protokoll (einem System aus Abfrage und Antwort).
Der Hashwert funktioniert so wie das Passwort selbst: Sie geben ihn einfach ins NTLM-Protokoll ein um auf ein System zuzugreifen. Hacker lieben Pass-the-Hash. Wenn sie sich Zugang zu einem System verschafft haben, müssen sie nämlich nicht erst den Hashwert knacken, um sich die Identität eines Nutzers unter den Nagel zu reißen.
Das sind tolle Neuigkeiten – für Hacker. Aber wie gelangen sie überhaupt an den Hashwert?
Ganz einfach: Windows bewahrt Hashwerte im LSASS-Speicher auf, um sie für Single Sign-on (SSO) bereitzustellen. In einer SSO-Umgebung – also der Computerumgebung, in der sich die meisten von uns bewegen – geben Sie Ihr Passwort nur einmal ein, wenn Sie sich an Ihrem Unternehmens-Laptop anmelden. Wenn Sie auf andere Dienste zugreifen, holt sich Windows einfach das entsprechende Passwort in Hashform aus dem LSASS, damit Sie es nicht erneut eingeben müssen.
Das ist ein Service, den die Nutzer als selbstverständlich erachten. Doch leider ist er gleichzeitig eine enorme Schwachstelle, die Hacker gerne ausnutzen. Penetrationstest-Tools wie Mimikatz greifen beispielsweise auf den LSASS-Speicher zu und erlauben es Cyber-Kriminellen, Zugangsdaten (vorzugsweise von privilegierten Nutzern) zu stehlen und bei der Durchforstung des Zielsystems mehrere Identitäten anzunehmen.
Endlich: Hashwerte nur noch schwer zu bekommen
Microsoft weiß seit vielen, vielen Jahren von dieser Schwachstelle. Man muss dem Unternehmen allerdings zugutehalten, dass es das Problem erkannt und gute Ratschläge gegeben hat, wie sich das Diebstahlrisiko bei Zugangsdaten senken lässt (entsprechende sind beispielsweise in diesem Dokument zu finden).
Und hier kommt schließlich Credential Guard ins Spiel. Die Entwickler von Windows 10 haben den LSASS-Prozess überarbeitet und ihm nun einen eigenen virtuellen Container zugewiesen. Es verwendet also ähnliche Ideen und Techniken wie virtuelle Maschinen, die es einem Hostbetriebssystem ermöglichen, mehrere Gastbetriebssysteme auszuführen. Diese Betriebssysteme sind wie Mini-Universen, die voneinander getrennt sind – außer wenn ganz spezielle Wurmlöcher auftreten. Darauf werde ich gleich noch näher eingehen.
Was passiert also bei Credential Guard?
Bei der Black Hat Conference im August hielten Seth Moore und Baris Saydag von Microsoft eine Präsentation unter dem Titel Defeating Pass-the-Hash und erklärten darin die Implementierungsdetails.
Sämtliche Infos würden den Rahmen dieses Blogs sprengen, nur so viel: Der LSASS-Adressbereich ist jetzt komplett von anderen Nutzerprozessen getrennt. Anwendungen wie Mimikatz kommen nicht mehr an ihn heran. Alle Details können Sie im kompletten Dokument nachlesen – achten Sie dabei besonders auf Begriffe wie „hypervisor“ und „ring level“.
Hier kommt meine eigene Kurzzusammenfassung:
Die Entwickler haben nicht an der LSASS-Programmierlogik gerüttelt, um die Verarbeitung von Zugangsdaten weiterhin zu unterstützen. Der Speicherbereich ist jedoch von anderen Anwendungen getrennt, wobei Credential Guard als Gateway fungiert.
Wurmloch-Technologie
Systemanwendungen und andere Applikationen müssen natürlich weiterhin die Zugangsdaten von Nutzern verifizieren. Das passiert jetzt über eine gut geschützte und authentifizierte Verbindung zu Credential Guard. Sie können sich Credential Guard also als den Wächter am Wurmloch zwischen dem gesonderten Speicherareal und allen anderen Bereichen vorstellen.
Dieser Blog-Eintrag klingt langsam ein bisschen nach Interstellar. Trotzdem, die Technologie ist ziemlich interessant und scheint die Pass-the-Hash-Schwachstelle endlich zu schließen. Es lässt sich also hoffen, dass Pass-the-Hash-Angriffe bald der Vergangenheit angehören, wenn Unternehmen auf Windows 10 Enterprise migrieren – die einzige Version, auf der Credential Guard läuft.
Allerdings sollte man den Erfindungsreichtum von Hackern nicht unterschätzen, wenn es darum geht, Schwachstellen und Zero-Day-Exploits zu finden.
So sind jetzt die Kosten für Pass-the-Hash-Angriffe immens gestiegen. Sie sind nicht unmöglich, doch sie werden weitaus mehr Aufwand erfordern als bisher.
The post Authentifizierung in Windows 10: Das Ende von Pass-the-Hash-Angriffen? appeared first on Varonis Deutsch.