Windows 8.1 beschermt tegen Pass-the-Hash-aanvallen
Microsoft heeft in de komende grote update voor Windows 8 belangrijke beveiligingsmaatregelen doorgevoerd om netwerken tegen Pass-the-Hash (PtH)-aanvallen te beschermen. Dit is een favoriete techniek van aanvallers om bedrijfsnetwerken te compromitteren.
Een PtH-aanval lijkt erg op aanvallen waarbij wachtwoorden worden gestolen, alleen worden dit keer geen wachtwoorden buitgemaakt, maar de hash-waarde van het wachtwoord. Met de hash-waarde kan de aanvaller op andere machines en domeinen inloggen.
Rechten
Om deze techniek te gebruiken moet een aanvaller eerst lokale administratorrechten op een computer in de organisatie hebben. Vervolgens is het mogelijk om wachtwoord-hashes uit het geheugen of de harde schijf te kopiëren. Bedrijven en organisaties kunnen op verschillende manieren PtH-aanvallen voorkomen, zoals het niet inloggen met accounts die verhoogde rechten hebben, het beperken van de mogelijkheid om lokale accounts via het netwerk te benaderen en het afdwingen van een reboot nadat er met een account met verhoogde rechten is ingelogd.
Windows 8.1
Veel van deze aanbevelingen zijn echter lastig voor bedrijven om te implementeren, zegt Roger Grimes, Principal Security Architect bij Microsoft. Om dit probleem aan te pakken beschikt Windows 8.1 over verschillende maatregelen om PtH-aanvallen te voorkomen. Zo is de Local Security Authority Subsystem Service (LSASS) beveiligd om hash-dumps te voorkomen.
Daarnaast zijn er veel processen aangepast die voorheen de inloggegevens in het geheugen bewaarden, maar dit in Windows 8.1 niet meer doen. Ook zijn er betere methodes om te beperken dat lokale accounts over het netwerk benaderbaar zijn en laten programma's inloggegevens niet meer in het geheugen achter nadat de gebruiker uitlogt.
Windows 8.1 staat ook het gebruik van RDP (Remote Desktop Protocol) toe zonder dat de inloggegevens van de gebruiker op de op afstand bestuurde computer worden gezet. Grimes wijst ook naar verschillende aanpassingen in het besturingssysteem die PtH-aanvallen moeten bemoeilijken.
Oudere Windows-versies
"Het enige nadeel dat ik kan bedenken is dat al deze beveiligingsmaatregelen alleen in Windows 8.1 en in Windows Server 2012 R2 beschikbaar zijn", zegt Grimes in zijn blogposting op Infoworld. Hij stelt dat klanten ongetwijfeld willen dat Microsoft deze maatregelen ook voor oudere Windows-versies beschikbaar maakt. "Ik heb echter geen idee wat de plannen van Microsoft zijn en of het zelfs mogelijk is zonder al teveel operationele problemen te veroorzaken."
1. Windows 7 heeft patches gehad voor PtH aanvallen, dus is nagenoeg even veilig/onveilig als windows 8. Indirect PtH blijft op beidde mogelijk.
2. De link blogposting leidt naar een site met adds waarin malware verwerkt zit.
Minpuntje voor security.nl m.a.w. check your sources first
Ik meende dat Windows 8.1 als gratis update binnenkwam?
voorkomen dat als iemand inbreekt deze andere hashes dan die van de momenteel ingelogde gebruiker kan
buitmaken (wat waarschijnlijk toch wel zal lukken).
Echter, wat ik me wel afvraag is hoe goed de opgeslagen hashes in die situatie worden gewist.
Wellicht wordt er alleen maar een "gewist" bitje aangezet en kan een goed stuk software ze toch nog weer ophalen?
Wie weet hier meer over?
Ik heb toen ook een policy ingesteld waardoor (domain/forest) administrators niet meer kunnen inloggen op een
werkstation (de werkstation administrator is een andere user), maar dat blijkt maar slecht te werken want je krijgt
dan wel een popup dat dit niet mag wegens policy, maar de hash is dan al opgeslagen!
Het idee is nu dat als er dan weer een gewone gebruiker inlogt door de count van 1 de opgeslagen administrator
hash weer gewist wordt, maar erg zeker ben ik er niet van. Voor hetzelfde geld staat ie gewoon nog ergens.
Wat een gepruts toch....
..........
2. De link blogposting leidt naar een site met adds waarin malware verwerkt zit.
........
voorkomen dat als iemand inbreekt deze andere hashes dan die van de momenteel ingelogde gebruiker kan
buitmaken (wat waarschijnlijk toch wel zal lukken).
Echter, wat ik me wel afvraag is hoe goed de opgeslagen hashes in die situatie worden gewist.
Wellicht wordt er alleen maar een "gewist" bitje aangezet en kan een goed stuk software ze toch nog weer ophalen?
Wie weet hier meer over?
Ik heb toen ook een policy ingesteld waardoor (domain/forest) administrators niet meer kunnen inloggen op een
werkstation (de werkstation administrator is een andere user), maar dat blijkt maar slecht te werken want je krijgt
dan wel een popup dat dit niet mag wegens policy, maar de hash is dan al opgeslagen!
Het idee is nu dat als er dan weer een gewone gebruiker inlogt door de count van 1 de opgeslagen administrator
hash weer gewist wordt, maar erg zeker ben ik er niet van. Voor hetzelfde geld staat ie gewoon nog ergens.
Wat een gepruts toch....
Pass-the-Hash aanvallen hebben betrekking op de in-memory hashes, niet op de cached credentials (de op schijf opgeslagen hashes).
Cached credentials zijn op een andere manier gehashed, en niet bruikbaar op het netwerk.
Beschermen tegen PtH zit vooral in voorkomen dat high-privilege accounts op desktops en member servers worden gebruikt. Dus de policy waarmee admins niet meer kunnen aanloggen op desktops is zeker goed!
Staat uitgebreid beschreven in deze white paper: http://www.microsoft.com/en-us/download/details.aspx?id=36036
1. Windows 7 heeft patches gehad voor PtH aanvallen, dus is nagenoeg even veilig/onveilig als windows 8. Indirect PtH blijft op beidde mogelijk.
2. De link blogposting leidt naar een site met adds waarin malware verwerkt zit.
Minpuntje voor security.nl m.a.w. check your sources first
??? De wijzigingen om PtH moeilijker te maken in Windows 8.1 zijn heel specifiek en niet zo maar te porten naar Windows 8 of Windows 7. Technisch vast niet onmogelijk, maar vergt uitgebreid testen. Voor nu zitten ze alleen in Windows 8.1.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.