apinan - Fotolia

F

Wie können Angreifer Windows-Sitzungen ohne Kennwort übernehmen?

Ein Angreifer mit lokalen Admin-Rechten unter Windows kann die Sitzungen des aktuellen Benutzers kapern, ohne dessen Kennwort für diese zu kennen.

Ein mögliches Szenario für einen Angriff könnte sich wie folgt darstellen: Ein Mitarbeiter eines Unternehmens hat sich in das Buchhaltungssystem des Unternehmens eingeloggt. In der Mittagspause verlässt er den Rechner und sperrt lediglich den Bildschirm, bleibt aber in der Anwendung eingeloggt. Wenn ein Angreifer mit Administrator-Rechten oder aber der Administrator selbst sich nun in dieses System einloggt, kann er die aktive Sitzung zum Buchhaltungssystem übernehmen, obwohl laut Richtlinien Administrator-Konten keinen Zugang zu genau dieser Anwendung haben. So können böswillige oder manipulative Zugriffe erfolgen.

Die Gefahr besteht dann für alle Anwendungen oder Logins, die im Kontext des eigentlichen Nutzers noch aktiv sind. Wenn entsprechende RDP-Verbindungen vorgesehen und eingerichtet sind, funktioniert das auch aus der Ferne. Nun kann jemand, der über lokale Admin-Rechte verfügt, zweifelsohne auch andere böswillige Aktionen durchführen oder Unfug treiben, aber hier handelt es sich um einen weiteren, sehr einfachen Angriffsvektor.

Auch wenn der als Ziel anvisierte Benutzer sein System gesperrt hat, kann der Angreifer also darauf zugreifen. Es ist allerdings hierfür notwendig, dass der Angreifer über die Berechtigungen des lokalen Systemkontos NT-AUTORITÄT/NT-AUTHORITY unter Windows verfügt. Mancherorts ist neben dem eigentlichen Benutzer noch ein lokales Administrator-Konto aktiv.

Dies kann der Angreifer auf der Kommandozeile mit dem Befehl whoami überprüfen. Zudem muss die Remote-Desktop-Verbindung eingerichtet sein, um gegebenenfalls eine Verbindung zu dem System zu erhalten. Der israelische Forscher Alexander Korzinkov hat demonstriert, wie die Angriffsmethode funktioniert. Laut eigenem Bekunden hat er dies mit den Desktop-Systemen Windows 7 und Windows 10, sowie den Servern Windows Server 2008, Windows Server 2012 R2 und Windows Server 2016 ausprobiert. Das Ganze geschieht mit Bordmitteln, ohne zusätzliche Tools.

Windows-Sitzungen übernehmen

Im Task-Manager des Systems kann der Angreifer sich über den Reiter Benutzer einen Überblick über den Status der jeweiligen Benutzer verschaffen. Das Konto des lokalen Administrators ist immer aktiv. Wenn der Angreifer nun die Eingabeaufforderung mit Admin-Rechten öffnet, kann er mit wenigen Parametern für den Befehl PsExec die Sitzung übernehmen. Die Sitzung des Opfers ist jetzt mit dem Angreifer verknüpft. Das Opfer kann hingegen nicht erkennen, dass die Sitzung übernommen wurde.

In folgendem Video demonstriert Alexander Korznikov die Vorgehensweise per Task Manager unter Windows 7.

Um diesem Angriffsvektor zu begegnen, sollten Unternehmen über Gruppenrichtlinien entsprechende sichere Einstellungen verwenden, um die Verwendung der lokalen Administrator-Konten zu steuern.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Wie angreifbar sind passwortgeschützte Systeme per USB?

Microsoft NetCease: Angreifer im LAN per PowerShell-Skript stoppen

Benutzerkonten und die schleichende Rechteausweitung

Wie kritisch sind DLL-Schwachstellen für Unternehmen?

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close