Nieuws
image

Windows 8.1 beschermt tegen Pass-the-Hash-aanvallen

woensdag 2 oktober 2013, 14:57 door Redactie, 8 reacties

Microsoft heeft in de komende grote update voor Windows 8 belangrijke beveiligingsmaatregelen doorgevoerd om netwerken tegen Pass-the-Hash (PtH)-aanvallen te beschermen. Dit is een favoriete techniek van aanvallers om bedrijfsnetwerken te compromitteren.

Een PtH-aanval lijkt erg op aanvallen waarbij wachtwoorden worden gestolen, alleen worden dit keer geen wachtwoorden buitgemaakt, maar de hash-waarde van het wachtwoord. Met de hash-waarde kan de aanvaller op andere machines en domeinen inloggen.

Rechten

Om deze techniek te gebruiken moet een aanvaller eerst lokale administratorrechten op een computer in de organisatie hebben. Vervolgens is het mogelijk om wachtwoord-hashes uit het geheugen of de harde schijf te kopiëren. Bedrijven en organisaties kunnen op verschillende manieren PtH-aanvallen voorkomen, zoals het niet inloggen met accounts die verhoogde rechten hebben, het beperken van de mogelijkheid om lokale accounts via het netwerk te benaderen en het afdwingen van een reboot nadat er met een account met verhoogde rechten is ingelogd.

Windows 8.1

Veel van deze aanbevelingen zijn echter lastig voor bedrijven om te implementeren, zegt Roger Grimes, Principal Security Architect bij Microsoft. Om dit probleem aan te pakken beschikt Windows 8.1 over verschillende maatregelen om PtH-aanvallen te voorkomen. Zo is de Local Security Authority Subsystem Service (LSASS) beveiligd om hash-dumps te voorkomen.

Daarnaast zijn er veel processen aangepast die voorheen de inloggegevens in het geheugen bewaarden, maar dit in Windows 8.1 niet meer doen. Ook zijn er betere methodes om te beperken dat lokale accounts over het netwerk benaderbaar zijn en laten programma's inloggegevens niet meer in het geheugen achter nadat de gebruiker uitlogt.

Windows 8.1 staat ook het gebruik van RDP (Remote Desktop Protocol) toe zonder dat de inloggegevens van de gebruiker op de op afstand bestuurde computer worden gezet. Grimes wijst ook naar verschillende aanpassingen in het besturingssysteem die PtH-aanvallen moeten bemoeilijken.

Oudere Windows-versies

"Het enige nadeel dat ik kan bedenken is dat al deze beveiligingsmaatregelen alleen in Windows 8.1 en in Windows Server 2012 R2 beschikbaar zijn", zegt Grimes in zijn blogposting op Infoworld. Hij stelt dat klanten ongetwijfeld willen dat Microsoft deze maatregelen ook voor oudere Windows-versies beschikbaar maakt. "Ik heb echter geen idee wat de plannen van Microsoft zijn en of het zelfs mogelijk is zonder al teveel operationele problemen te veroorzaken."

Reacties (8)
02-10-2013, 16:02 door dutchfish
Pertinent ONWAAR.

1. Windows 7 heeft patches gehad voor PtH aanvallen, dus is nagenoeg even veilig/onveilig als windows 8. Indirect PtH blijft op beidde mogelijk.
2. De link blogposting leidt naar een site met adds waarin malware verwerkt zit.

Minpuntje voor security.nl m.a.w. check your sources first
02-10-2013, 16:49 door Anoniem
Ik kijk erg uit naar Windows 8.1. Heb jaren Linux gebruikt en sinds kort draai ik naar tevredenheid Windows 8 op mijn machines. Ik heb gehoord dat er hier in en daar verbeteringen aan het besturingssysteem werden aangebracht.

Ik meende dat Windows 8.1 als gratis update binnenkwam?
02-10-2013, 18:31 door Anoniem
Ik heb in het verleden de instelling van de werkstations m.b.t. het aantal opgeslagen hashes op 1 gezet, om te
voorkomen dat als iemand inbreekt deze andere hashes dan die van de momenteel ingelogde gebruiker kan
buitmaken (wat waarschijnlijk toch wel zal lukken).
Echter, wat ik me wel afvraag is hoe goed de opgeslagen hashes in die situatie worden gewist.
Wellicht wordt er alleen maar een "gewist" bitje aangezet en kan een goed stuk software ze toch nog weer ophalen?
Wie weet hier meer over?

Ik heb toen ook een policy ingesteld waardoor (domain/forest) administrators niet meer kunnen inloggen op een
werkstation (de werkstation administrator is een andere user), maar dat blijkt maar slecht te werken want je krijgt
dan wel een popup dat dit niet mag wegens policy, maar de hash is dan al opgeslagen!
Het idee is nu dat als er dan weer een gewone gebruiker inlogt door de count van 1 de opgeslagen administrator
hash weer gewist wordt, maar erg zeker ben ik er niet van. Voor hetzelfde geld staat ie gewoon nog ergens.
Wat een gepruts toch....
03-10-2013, 01:53 door [Account Verwijderd]
[Verwijderd]
03-10-2013, 08:43 door Dick99999 - Bijgewerkt: 03-10-2013, 08:44
Door dutchfish:
..........
2. De link blogposting leidt naar een site met adds waarin malware verwerkt zit.
........
Kan je iets specifieker zijn? Welke scanner/firewall gaf dat en wat aan?
03-10-2013, 09:44 door Anoniem
Door Anoniem: Ik heb in het verleden de instelling van de werkstations m.b.t. het aantal opgeslagen hashes op 1 gezet, om te
voorkomen dat als iemand inbreekt deze andere hashes dan die van de momenteel ingelogde gebruiker kan
buitmaken (wat waarschijnlijk toch wel zal lukken).
Echter, wat ik me wel afvraag is hoe goed de opgeslagen hashes in die situatie worden gewist.
Wellicht wordt er alleen maar een "gewist" bitje aangezet en kan een goed stuk software ze toch nog weer ophalen?
Wie weet hier meer over?

Ik heb toen ook een policy ingesteld waardoor (domain/forest) administrators niet meer kunnen inloggen op een
werkstation (de werkstation administrator is een andere user), maar dat blijkt maar slecht te werken want je krijgt
dan wel een popup dat dit niet mag wegens policy, maar de hash is dan al opgeslagen!
Het idee is nu dat als er dan weer een gewone gebruiker inlogt door de count van 1 de opgeslagen administrator
hash weer gewist wordt, maar erg zeker ben ik er niet van. Voor hetzelfde geld staat ie gewoon nog ergens.
Wat een gepruts toch....

Pass-the-Hash aanvallen hebben betrekking op de in-memory hashes, niet op de cached credentials (de op schijf opgeslagen hashes).

Cached credentials zijn op een andere manier gehashed, en niet bruikbaar op het netwerk.

Beschermen tegen PtH zit vooral in voorkomen dat high-privilege accounts op desktops en member servers worden gebruikt. Dus de policy waarmee admins niet meer kunnen aanloggen op desktops is zeker goed!

Staat uitgebreid beschreven in deze white paper: http://www.microsoft.com/en-us/download/details.aspx?id=36036
03-10-2013, 09:48 door Anoniem
Door dutchfish: Pertinent ONWAAR.

1. Windows 7 heeft patches gehad voor PtH aanvallen, dus is nagenoeg even veilig/onveilig als windows 8. Indirect PtH blijft op beidde mogelijk.
2. De link blogposting leidt naar een site met adds waarin malware verwerkt zit.

Minpuntje voor security.nl m.a.w. check your sources first


??? De wijzigingen om PtH moeilijker te maken in Windows 8.1 zijn heel specifiek en niet zo maar te porten naar Windows 8 of Windows 7. Technisch vast niet onmogelijk, maar vergt uitgebreid testen. Voor nu zitten ze alleen in Windows 8.1.
04-10-2013, 21:38 door Anoniem
Ik hoop dat men inziet en het ook aangepast heeft in de 8.1 upgrade dat als je app's wil downloaden de Windows Firewall MOET hebben aanstaan!!! Pijnlijk detail is dat voor de 'meeste' mensen die een andere firewall gebruiken.
Dat is wel echt opdringerig niet?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure