Pass-the-Hash
Angriffstechnik, bei der NTLM-Passwort-Hashes direkt zur Authentifizierung missbraucht werden, ohne das Klartextpasswort zu kennen.
Pass-the-Hash (PtH) ist eine Angriffstechnik, bei der ein Angreifer den NTLM-Hash eines Benutzerpassworts abfängt und direkt zur Authentifizierung an anderen Systemen verwendet — ganz ohne das eigentliche Passwort zu kennen oder den Hash knacken zu müssen. Die Technik nutzt eine grundlegende Eigenschaft des NTLM-Protokolls aus: Bei der Authentifizierung wird nicht das Passwort selbst, sondern dessen Hash übermittelt.
Wie funktioniert der Angriff?
Zunächst kompromittiert der Angreifer ein System und extrahiert NTLM-Hashes aus dem lokalen SAM-Speicher (Security Account Manager) oder dem LSASS-Prozess (Local Security Authority Subsystem Service). Tools wie Mimikatz können diese Hashes aus dem Arbeitsspeicher auslesen. Anschließend nutzt der Angreifer den erbeuteten Hash, um sich an anderen Systemen zu authentifizieren, die NTLM akzeptieren. Da lokale Administratorkonten in vielen Umgebungen dasselbe Passwort verwenden, kann ein einziger Hash ausreichen, um sich lateral durch das gesamte Netzwerk zu bewegen.
NTLM als Grundproblem
NTLM ist ein veraltetes Authentifizierungsprotokoll, das Microsoft seit Jahren durch Kerberos ersetzen möchte. Dennoch ist NTLM in vielen Umgebungen weiterhin aktiv — oft weil Legacy-Anwendungen es benötigen oder weil es als Fallback konfiguriert ist. Solange NTLM aktiv ist, bleibt Pass-the-Hash eine reale Bedrohung.
Erkennung
| Indikator | Beschreibung |
|---|---|
| Event ID 4624 (Logon Type 3) | Netzwerkanmeldungen mit NTLM statt Kerberos |
| Event ID 4776 | NTLM-Authentifizierungsversuche am Domain Controller |
| Lateral Movement | Ungewöhnliche Anmeldemuster über mehrere Systeme hinweg |
| LSASS-Zugriff | Prozesszugriff auf lsass.exe durch unerwartete Programme |
Ein SIEM-System, das diese Events korreliert, kann Pass-the-Hash-Aktivitäten frühzeitig erkennen. Besonders verdächtig sind NTLM-Authentifizierungen von Konten, die normalerweise Kerberos verwenden.
Gegenmaßnahmen
Die wichtigste Maßnahme ist Credential Guard, eine Windows-Sicherheitsfunktion, die NTLM-Hashes in einer virtualisierten Umgebung isoliert und damit den Zugriff durch Tools wie Mimikatz verhindert. LAPS (Local Administrator Password Solution) stellt sicher, dass jedes System ein einzigartiges lokales Admin-Passwort hat — damit wird die laterale Bewegung mit einem einzelnen Hash unterbunden. Langfristig sollte NTLM vollständig deaktiviert und durch Kerberos ersetzt werden. Ein Tiering-Modell verhindert, dass privilegierte Credentials auf niedrig eingestuften Systemen exponiert werden, und PAM-Lösungen ergänzen dies durch Just-in-Time-Zugriffskontrollen.
Zusammenhang mit anderen Angriffen
Pass-the-Hash ist häufig Teil einer größeren Angriffskette. Angreifer kombinieren die Technik mit Kerberoasting (um von Service Accounts zu Domain Admins aufzusteigen), Credential Dumping und Privilege Escalation. In einem schlecht segmentierten Netzwerk ohne Mikrosegmentierung kann ein einzelner kompromittierter Arbeitsplatz ausreichen, um die gesamte Domäne zu übernehmen.
Relevanz für KMUs
In mittelständischen Umgebungen sind die Voraussetzungen für Pass-the-Hash besonders häufig gegeben: gleiche lokale Admin-Passwörter auf allen Clients, kein Credential Guard, kein LAPS und NTLM als aktives Fallback-Protokoll. Die Einführung von LAPS und Credential Guard sind niedrigschwellige Maßnahmen mit hoher Wirkung, die in jeder Active-Directory-Umgebung umgesetzt werden sollten. Wer bei einer forensischen Untersuchung auf unbekannte Hashwerte stößt, kann mit dem Hash-Analyzer den zugrunde liegenden Algorithmus automatisch identifizieren lassen.