aramido⚡ So schnell wird eine Infrastruktur gehackt –
selbst mit Zwei‑Faktor‑Authentifizierung 🔐👾
Die Sicherheit mit einer Zwei-Faktor-Authentifizierung (2FA) durch ein Time-based One-Time Password (TOTP) ist grundsätzlich sicherer als ohne. Für Hacker ist dies allerdings auch nur ein kleines Hindernis. Wie genau Angreifende trotz 2FA Zugang zu Systemen bekommen können, konnten Studierenden vom @KITCTF bei aramido selbst testen.
Die Session startete gemeinsam mit den Beratern von aramido und den Studierenden: Mithilfe eines Man-in-the-Middle-Angriffs konnte jeder Teilnehmende in Echtzeit einen mit TOTP-abgesicherten Account hacken, sich das Session-Cookie des Benutzers klauen und sich damit erfolgreich im Namen des Benutzers anmelden. Danach durften die Studierenden vom KITCTF selbstständig weiter hacken: Jeder bekam eine eigene Test-Infrastruktur mit Linux- und Windows-Servern von aramido zur Verfügung gestellt. Das Ziel war klar: das Active Directory (AD) übernehmen – das zentrale Verzeichnis, das in jeder Windows‑Umgebung alles steuert. 💥
Auf dem Weg zum AD konnten die Studierenden Zugangsdaten für einen Windows-Desktop finden, auf dem bereits ein weiterer Nutzer angemeldet war. Entsprechend einfach konnte der NTLM-Hash des Passworts des Nutzers im Arbeitsspeicher gefunden und extrahiert werden. Gängige Cracking‑Tools wandelten den Hash anschließend in das Klartext‑Passwort des Domänen‑Nutzers um, damit das AD im Anschluss ausgelesen werden konnte. Mithilfe von Bloodhound konnten die Studierenden die AD-Topologie visualisieren und dadurch mit einem Blick feststellen, welcher Pfad zum Domänen-Administrator führt.
Zwischendurch gab es natürlich eine wohlverdiente Pizza‑Pause zur Stärkung 🍕😋.
Bei ein paar Stückchen und lockeren Gesprächen merkten wir, wie spannend und aktuell das Thema für alle Beteiligten ist.
Es war wieder ein tolles Erlebnis, gemeinsam mit den Studierenden Systeme zu hacken. Wir freuen uns schon auf das nächste Event mit dem KITCTF.
Fazit zur Zwei‑Faktor‑Authentifizierung:
2FA mit TOTP ist ein guter erster Schritt, aber nicht mehr genug. Besser sind Hardware‑Tokens oder Passkeys. Wir unterstützen gerne dabei, eure Infrastruktur und Systeme zu schützen. 🛡️
Sprecht uns gerne an 😊
