Bundesamt für Sicherheit in der Informationstechnik

G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows-Systemen

Bei jeder Standardinstallation eines Windows-NT-basierten Systems wird ein lokales Administratorkonto angelegt. Dies betrifft sowohl die Client- als auch die Server-Versionen. Im Gegensatz zu selbst angelegten Konten kann dieses lokale vordefinierte Administratorkonto unter Windows NT und Windows 2000 weder gelöscht noch gesperrt werden. Damit soll verhindert werden, dass der Administrator vorsätzlich oder versehentlich ausgesperrt und somit die Verwaltung unmöglich wird. Problematisch in diesem Zusammenhang ist, dass das vordefinierte Administratorkonto selbst dann nicht gesperrt wird, wenn die in der Kontorichtlinie für eine Sperre eingetragene Anzahl ungültiger Kennworteingaben überschritten wird. Ohne entsprechende Gegenmaßnahmen ermöglicht dies das planmäßige Ausprobieren von Passwörtern mit Hilfe von speziellen Programmen. Erst ab Windows XP beziehungsweise Windows Server 2003 ist es möglich, das lokale vordefinierte Administratorkonto zu deaktivieren. Ab Windows Vista ist dieses Konto bei einer Standardinstallation bereits deaktiviert. Das Konto kann aber weiterhin nicht gelöscht werden.

Es gibt weitere Möglichkeiten, um in den Besitz eines zu einem Administratorkonto gehörenden Passwortes zu kommen, um damit Administratorrechte zu erlangen. Wird ein Windows NT-basiertes System fernadministriert, so besteht die Gefahr, dass beim Authentisierungsvorgang das Anmeldepasswort, je nach verwendetem Authentisierungsverfahren, im Klartext übertragen wird und damit von einem Angreifer aufgezeichnet werden kann. Windows Vista und Server 2008 stellen zwar bereits bei einer Standardinstallation IPSec-Unterstützung zur Verfügung, die Verschlüsselung muss jedoch konfiguriert und aktiviert werden. Selbst wenn durch Eingriffe in das System sichergestellt ist, dass die Anmeldepasswörter nur verschlüsselt übertragen werden, ist es möglich, dass ein Angreifer das verschlüsselte Passwort aufzeichnet und mit Hilfe entsprechender Software entschlüsselt. Dies gilt insbesondere für Windows NT, wenn das ältere NTLM-Verfahren eingesetzt wird. Ab Windows 2000 wird in einer Domänenumgebung standardmäßig das Kerberos-Verfahren eingesetzt, das robuster gegen solche Angriffe ist.

Weiterhin wird bei Windows XP und Windows Server 2003 jedes Passwort in der Registrierung und in einer Datei, die sich im Verzeichnis %SystemRoot%\System32\Repair bzw. %Systemroot%/Repair auf den Notfalldisketten und gegebenenfalls auf Bandsicherungen befindet, verschlüsselt gespeichert. Gelangt ein Angreifer in den Besitz der Datei, kann er mit Hilfe entsprechender Software versuchen, das benötigte Passwort zu entschlüsseln. Windows Versionen ab Vista und Server 2008 haben kein Repair-Verzeichnis mehr.

Mit einer speziellen Schadsoftware ist es möglich, dass ein Angreifer auf dem Windows NT-Rechner, an dem er lokal angemeldet ist, ein beliebiges Benutzerkonto der Gruppe Administratoren hinzufügt und dem Kontoinhaber damit Administratorrechte verschafft.

Andere Beispiele für Attacken zum unberechtigten Erlangen von administrativen Berechtigungen sind:

  • Die Erweiterung der Berechtigungen (Privilege Escalation) ist auch durch die Ausnutzung von Schwachstellen in Programmen oder Diensten möglich, die mit administrativen oder Systemberechtigungen ausgeführt werden.
  • Technische Attacken können zusammen mit Social Engineering-Methoden eingesetzt werden. Beispielsweise kann das lokale System mit normalen Benutzerrechten manipuliert und ein Keylogger installiert werden. Bringt ein Angreifer dann einen Administrator dazu, sich anzumelden, zeichnet der Keylogger seinen Benutzernamen und sein Passwort auf.
  • Kennwörter könnten unter Verwendung eines anderen Boot-Mediums ( z. B. Diskette/ CD-ROM / USB -Speicher) überschrieben werden.

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK