Sicherheitsanalyse von Windows Domänen am Beispiel des Tools mimikatz

Alexander Reuter

Kurzfassung

Viele Windowsnetzwerke im Firmenumfeld sind veraltet oder nicht ausreichend gepflegt und weisen deshalb Schwächen im Bereich der IT Sicherheit auf. Ein Tool, welches solche Sicherheitslücken ausnutzt, ist mimikatz. Es bedient sich der Schwachstellen der Windows- und Kerberosauthentifizierung, um diese zu umgehen, Kerberos Tickets zu stehlen oder zu fälschen. Dabei nutzt mimikatz lokale Administratorrechte und gegebenenfalls Debug-Rechte aus, um Informationen, wie zum Beispiel Klartextpasswörter oder Hashes, aus dem Speicher auszulesen und zu exportieren. Es ist zudem möglich mimikatz in Kombination mit anderen Sicherheitstools, exemplarisch Metasploit, zu verwenden, um die Angriffe effzienter durchzuführen. Bei korrekter Administration der Windowsdomäne können einige Maßnahmen getroffen werden, um diese Angriffe zu verhindern. Dies beinhaltet die Einschränkung von Rechten sowie eine strikte Kontrolle der Clientaktivitäten, wie die Anforderung von Tickets. Da das Kerberos Protokoll gestohlene oder gefälschte Tickets nicht automatisch erkennen
kann, werden Konzeptideen vorgestellt, wie das Protokoll diese über Erweiterungen erkennen und annullieren kann. Ideen hierbei sind die Vergabe von eindeutigen Identifikationsmerkmalen durch das Key Distribution Center, die an die Tickets angehangen werden, und so die Fälschung von Tickets verhindern. Alternativ wird das Signieren von Tickets vorgeschlagen. Beide Vorschläge sind zu diesem Zeitpunkt noch theoretische Konzepte und benötigen weitere Arbeit.

Schlüsselwörter: Windows, Kerberos, IT-Sicherheit, mimikatz

Abstract

A lot of Windows domains are outdated or not suffciently looked after. Therefore, they contain IT security vulnerabilities. Mimikatz is a tool which uses such security flaws in Kerberos authentication to forge or to steal tickets. Given local administrator rights, and sometimes debug rights, mimikatz is able to read information like plaintext passwords or hashes from cache and export these. In addition, an attacker can use mimikatz incorporated in other security tools, for example Metasploit, to execute an attack more effciently. Windows offers a few countermeasures to help administrators prevent such attacks. These
include restriction of rights as well as strict control of client activity, e.g. ticket requets. The Kerberos protocol is not able to recognise stolen or forged tickets automatically. Therefore, a few ideas for protocol extensions are presented to identify or even annul such ticktes. The first concept regards a unique identification number added to the ticket by the Key Distribution Center. This prevents tickets from being forged only. Alternatively, to also secure authentication against stolen tickets the Key Distribution Center could sign each ticket during generation. Both ideas are purely theoretical to this date and need to be evaluated further.

Keywords: Windows, Kerberos, IT-Security, mimikatz