🔐 Launch-Aktion: Spare 25% Rabatt auf alle Lernpfade & Zertifikate – Code LAUNCH25 gültig bis 18.03.
Menü
Matrix Background
Pass the Hash

Pass the Hash im Red Teaming verstehen

Was ist ein Pass the Hash Angriff?

Definition und Grundlagen eines Pass the Hash Angriffs

Ein Pass the Hash Angriff ist eine Angriffstechnik im Bereich der Netzwerksicherheit, bei der ein Angreifer nicht das eigentliche Passwort eines Benutzers benötigt, sondern lediglich dessen Passwort-Hash. Ein Hash ist eine verschlüsselte Darstellung des Passworts, die normalerweise zur sicheren Speicherung von Authentifizierungsdaten verwendet wird.

Bei diesem Angriff nutzt der Angreifer einen bereits erbeuteten Hashwert, um sich gegenüber anderen Systemen im Netzwerk zu authentifizieren. Da viele Authentifizierungsprotokolle lediglich prüfen, ob der übermittelte Hash korrekt ist, kann der Angreifer diesen Wert direkt verwenden, ohne das ursprüngliche Passwort zu kennen.

Der Angriff tritt besonders häufig in Windows-Netzwerken auf, die das NTLM-Authentifizierungsprotokoll verwenden. Wenn ein Angreifer Zugriff auf einen Rechner erhält, kann er gespeicherte Hashwerte auslesen und diese für weitere Anmeldeversuche innerhalb des Netzwerks nutzen.

In Penetration Tests und Red Team Übungen wird Pass the Hash regelmäßig getestet, da diese Angriffstechnik zeigt, wie schnell sich ein Angreifer innerhalb einer kompromittierten Infrastruktur weiter ausbreiten kann.

Typischer Ablauf eines Pass the Hash Angriffs

Ein Pass the Hash Angriff beginnt meist mit der Kompromittierung eines einzelnen Systems im Netzwerk. Dies kann beispielsweise durch Phishing, Malware oder eine ausgenutzte Sicherheitslücke erfolgen. Sobald der Angreifer Zugriff auf das System hat, versucht er gespeicherte Anmeldeinformationen zu extrahieren.

In vielen Windows-Systemen werden Passwort-Hashes im Arbeitsspeicher oder in lokalen Sicherheitsdatenbanken gespeichert. Angreifer können spezielle Tools verwenden, um diese Hashwerte auszulesen.

Anschließend nutzt der Angreifer den gestohlenen Hash, um sich gegenüber anderen Rechnern im Netzwerk zu authentifizieren. Der Hash wird dabei direkt an das Zielsystem übermittelt, das ihn als gültige Authentifizierungsinformation akzeptiert.

Wenn das Zielsystem den Hash akzeptiert, erhält der Angreifer Zugriff auf das System, ohne das tatsächliche Passwort zu kennen. Auf diese Weise kann sich der Angreifer von einem Rechner zum nächsten bewegen.

Dieser Prozess wird häufig genutzt, um sich innerhalb eines Netzwerks schrittweise auszubreiten und immer höhere Berechtigungen zu erlangen.

Technischer Hintergrund von Hash-basierter Authentifizierung

Der technische Hintergrund eines Pass the Hash Angriffs liegt in der Funktionsweise der Hash-basierten Authentifizierung. Viele Systeme speichern Passwörter nicht im Klartext, sondern in Form eines Hashwerts. Dieser Hash wird während der Anmeldung überprüft.

Bei einigen Authentifizierungsprotokollen wird der Hash selbst als Authentifizierungsnachweis verwendet. Wenn ein System einen korrekten Hashwert erhält, geht es davon aus, dass der Benutzer das entsprechende Passwort kennt.

Ein Angreifer kann diesen Mechanismus ausnutzen, indem er den Hash direkt weitergibt. Das Zielsystem erkennt dabei nicht, dass der Hash gestohlen wurde, und gewährt Zugriff.

Diese Schwachstelle tritt besonders in Netzwerken auf, die noch ältere Authentifizierungsverfahren wie NTLM verwenden. Moderne Sicherheitsarchitekturen versuchen, solche Risiken durch zusätzliche Schutzmechanismen zu reduzieren.

Trotzdem bleibt Pass the Hash eine der effektivsten Methoden, um sich innerhalb eines kompromittierten Netzwerks zu bewegen.

Schwierigkeit und Gefährdungspotenzial eines Pass the Hash Angriffs

Die Durchführung eines Pass the Hash Angriffs setzt voraus, dass ein Angreifer bereits Zugriff auf ein System innerhalb des Netzwerks besitzt. Sobald dieser Zugriff vorhanden ist, kann der Angriff jedoch relativ effizient durchgeführt werden.

Das Gefährdungspotenzial ist besonders hoch, weil der Angreifer keine Passwörter knacken muss. Stattdessen nutzt er vorhandene Hashwerte, die häufig im Speicher von Systemen oder in Sicherheitsdatenbanken gespeichert sind.

In vielen realen Cyberangriffen wird Pass the Hash verwendet, um sogenannte Lateral Movement innerhalb eines Netzwerks durchzuführen. Dabei bewegt sich der Angreifer von einem System zum nächsten, bis er schließlich zentrale Infrastrukturkomponenten erreicht.

Besonders kritisch wird der Angriff, wenn Administrator-Hashes kompromittiert werden. In diesem Fall kann ein Angreifer umfangreiche Kontrolle über das gesamte Netzwerk erlangen.

Deshalb zählt Pass the Hash zu den wichtigsten Angriffstechniken, die in modernen Unternehmensnetzwerken berücksichtigt werden müssen.

Schutzmaßnahmen gegen Pass the Hash Angriffe

Um Pass the Hash Angriffe zu verhindern, setzen Unternehmen verschiedene Sicherheitsmaßnahmen ein. Eine zentrale Strategie besteht darin, den Einsatz veralteter Authentifizierungsprotokolle wie NTLM zu reduzieren und stattdessen modernere Verfahren zu verwenden.

Auch eine konsequente Netzwerksegmentierung kann verhindern, dass Angreifer sich nach einer ersten Kompromittierung im gesamten Netzwerk bewegen.

Zusätzlich sollten Administratorrechte streng kontrolliert werden. Durch das Prinzip der Least Privilege erhalten Benutzer nur die Rechte, die sie für ihre Arbeit tatsächlich benötigen.

Moderne Sicherheitslösungen wie Endpoint Detection and Response (EDR), Credential Guard oder spezielle Sicherheitsrichtlinien können außerdem verhindern, dass Hashwerte aus dem Speicher ausgelesen werden.

Durch eine Kombination aus starker Authentifizierung, Systemhärtung und kontinuierlichem Security Monitoring kann das Risiko eines Pass the Hash Angriffs deutlich reduziert werden.

Einsatz von Pass the Hash im Red Teaming

Bei einer realistischen Angriffssimulation wird Pass the Hash meist nicht isoliert eingesetzt. Angreifer kombinieren mehrere Techniken miteinander, um schrittweise Zugang zu Systemen zu erhalten. Zunächst erfolgt häufig eine Informationssammlung, danach wird ein Einstiegspunkt gesucht und anschließend versucht, die eigenen Zugriffsrechte auszubauen.


Für Verteidiger ist das Verständnis solcher Angriffstechniken entscheidend. Blue Teams analysieren beispielsweise Netzwerkverkehr, Authentifizierungsversuche und ungewöhnliche Systemaktivitäten, um genau solche Angriffsmuster frühzeitig zu erkennen.


Wer sich intensiver mit Cybersecurity beschäftigt, sollte daher sowohl die offensive als auch die defensive Perspektive verstehen. Nur so lässt sich nachvollziehen, wie Angriffe entstehen und welche Schutzmaßnahmen in Unternehmen wirklich wirksam sind.


Auf der Plattform Hacking-Kurse können Lernende ihr Wissen durch strukturierte Lernpfade vertiefen und anschließend Cybersecurity-Zertifikate erwerben. Diese Zertifikate dienen als praktischer Nachweis für Kenntnisse im Bereich Red Teaming, Ethical Hacking und IT-Sicherheit und können auch im beruflichen Umfeld als Qualifikationsnachweis genutzt werden.

Weitere Red-Team Themen:
phishing, spear-phishing, whaling, vishing, smishing, csrf, xss, sql-injection, command-injection, file-upload, directory-traversal, brute-force, password-spraying, credential-stuffing, session-hijacking, mitm, dns-spoofing, arp-spoofing, wifi-evil-twin, privilege-escalation, lateral-movement, token-impersonation, pass-the-ticket, dll-hijacking, supply-chain, watering-hole, drive-by-download, data-exfiltration, persistence-mechanisms

Zurück zur Übersicht

Red Team Lernpfade ansehen »