Post bitte bis zum Ende lesen oder ignorieren! 🙂
Ich bin neulich über diesen Microsoft Blogpost gestolpert:
Es war glaube ich aus einem Reddit Post zu LastPass oder Bitwarden heraus.
These des Blogposts ist, dass Aufbau und Länge des Passworts eigentlich kaum relevant sind.
Begründet wird dies mit den folgenden Punkten:
- Bei vielen Angriffstechniken werden die Klartextpasswörter kompromittiert
- Beim Password Spraying (wenige gute Passwörter gegen alle Accounts) reicht es, nicht die gängigsten Passwörter zu verwenden (Bsp. Sommer2023!) da ein Angreifer nur wenige Versuche gegen Livesysteme hat.
- Offline Bruteforce, da der Angreifer hier schon den Domänen Controller kompromittiert haben muss, um an Passwordhashes gekommen zu sein oder weil Azure AD so gute Passwordhashing-Verfahren nutzt, dass ein Bruteforce nicht mehr realistisch ist.
Als Zusammenfassung wird aufgezeigt:
The Inevitable Punchline
Your password doesn’t matter except for password spray (avoid the top guessed passwords with a dictionary checker of some kind) or brute force (use more than 8 characters, or use a password manager if you are *really* nervous). That’s not to say your password isn’t terrible. It’s *definitely* terrible, given the likelihood that it gets guessed, intercepted, phished, or re-used.
Your password doesn’t matter, but MFA does! Based on our studies, your account is more than 99.9% less likely to be compromised if you use MFA.
Fazit des Microsoft Artikels: Ihr Passwort ist also nicht relevant – wichtig ist nicht eins der bekanntesten, geklauten Passwörter sowie 2FA zu verwenden. Danach muss ihr Passwort nicht mehr gut und stark sein.
Ich denke das ist falsch und lässt sehr kritische Angriffspfade außer Betracht!
Wahrscheinlich zeigt dieser Artikel, dass Alex Weinert primär im Cloud Team / Azure AD arbeitet und sich wenig mit On Premise AD Umgebungen und Angriffen befasst.
Wenn wir Blackbox Pentests und passwortstarke Audits mit @PENTERA durchführen, sehen wir immer wieder die gleichen Angriffsketten-Startpunkte:
- NetNTLMv2 Passwordhashes können mittels MitM-Angriffen, basierend auf Responder/LLMNR/NBTns abgefangen und offline gebruteforced werden. Hierbei sind NetNTLMv2 Hashes gesaltet und deutlich stärker als reine NTLM Hashes. Hier entscheidet die Länge und Qualität also definitiv ob wir ein Passwort innerhalb von Sekunden oder Minuten oder ggf. gar nicht geknackt bekommen. Ist es ein Admin Hash z.B. einer Softwareverteilungslösung oder eines Administrators, kann also dessen Passwortqualität entscheidend dafür sein, ob die Umgebung innerhalb von 5 Minuten komplett bis zum Domain Admin kompromittiert wird oder gar nicht!
- Weiterhin finden sich in Clients natürlich auch die Domain Cached Credentials (DCC2) welche im Default die letzten 10 Domain Credentials enthalten und damit nicht selten den Softwareinstallationsnutzer, der überall Administrator ist und das Passwort des Admins, der alle Rechner aufsetzt – meist auch sowas wie Domain Admin oder Admin auf allen Clients!
- Passwort-Wiederverwendung: Wenn z.B. überall die gleichen lokalen Administratorenkennwörter vergeben sind und ein Angreifer an ein Gerät kommt und dieses Passwort bruteforcen kann, kann er sich auf andere Systeme durch die Vordertür z.B. via RDP Eintritt verschaffen, selbst wenn die Systeme effektiv gegen Pass-The-Hash Angriffe gesichert sind. Natürlich wäre es hier noch wichtiger eine Passwortlösung wie LAPS oder andere kommerzielle Tools einzusetzen, aber Fakt bleibt einfach, dass sich mit einem Klartext-Passwort eines privilegierten Benutzers noch schneller, leiser und effektiver im Netzwerk bewegt werden kann!
Weiterhin ist es wichtig zu betrachten, dass man mit 2FA / MFA zwar wunderbar Einstiegspunkte in ein Netzwerk absichern kann, wie z.B. Citrix Logins, MS/O365 Logins, oder auch die Lokale PC Anmeldung innerhalb der Firma. Untereinander sprechen Systeme OnPremise mit klassischem Active Directory dann aber wieder 10-20 Jahre alte Protokolle wie NTLM oder Kerberos die man nicht mal eben Server-zu-Server mit 2FA absichern kann!
Vielleicht gibt es hier spannende Lösungen, die ich einfach im Feld in 15 Jahren noch nie gesehen habe, aber das heißt im Umkehrschluss, dass sie keiner unserer Kunden einsetzt und diese für uns daher nicht relevant sind.
Weiterhin wäre es natürlich traumhaft, wenn alle Firmen OnPremise AD abdanken und auf Azure AD Joined Only Systeme schwenken würden. Aber auch das ist bei keinem unserer Kunden flächendeckend auch nur ansatzweise realistisch. Stattdessen wird großteiles auf Hybrid Joins gesetzt, mit denen man am Ende des Tages seine Authentifzierungs-Angriffsfläche quasi verdoppelt. (Nicht das Thema hier aber schauen Sie bei mal bei https://dirkjanm.io vorbei, wenn sie Schwächen in Azure AD interessieren).
Wenn sie also beim Eindringen eines halbwegs fähigen Hackers oder einer vollautomatisierten Ransomware in ihr OnPremise Active Directory nicht ihre ganze Umgebung abbrennen sehen möchten, DANN IST IHR PASSWORT DEFINITIV WICHTIG!
Der Microsoft Post von Alex Weinert ist übrigens trotzdem gut und beinhaltet viele Wahrheiten und wichtige Betrachtungsweisen! Aber totalitäre Aussagen wie „Your Pa$$word doesn’t matter“ sind einfach falsch…
Sebastian Brabetz
Geschäftsleitung Security Consulting
mod IT Services GmbH