![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
In Windows 11 und Windows Server 2025 soll der Credential Guard das Abflie\u00dfen von Anmeldedaten verhindern. Sicherheitsforscher haben nun gezeigt, dass sich der Credential Guard in Windows austricksen l\u00e4sst und weiterhin Anmeldedaten preisgeben kann. Angreifer k\u00f6nnen NTLMv1-Anmeldeinformationen abrufen. Microsoft teilte den Sicherheitsforschern nach der Meldung mit, dass man das nicht fixen werde.<\/p>\n
<\/p>\n
Credential Dumping ist eine Technik, mit der\u00a0Angreifer versuchen, Anmeldedaten (Credentials) zu extrahieren, um sich Zugang zu Konten und Anmeldedaten eines Systems, in der Regel in Form eines Hash-Werts oder eines Klartext-Passworts, zu verschaffen. Anmeldedaten k\u00f6nnen aus dem Cache, dem Speicher oder Strukturen des Betriebssystems extrahiert werden.<\/p>\n
Diese Anmeldedaten (Credentials) lassen sich dann f\u00fcr laterale Bewegungen im Netzwerk und den Zugriff auf abgesicherte Systeme und die dort gespeicherten Informationen verwenden.\u00a0Credential Dumping ist nach wie vor eine der effektivsten Techniken, die sowohl von Angreifern als auch von Red-Teamern eingesetzt wird, um nach einer Exploitation in Windows-Umgebungen lateral vorzugehen.<\/p>\n
Ein Hauptziel solcher Angriffe ist der LSASS-Prozess, der NTLM- und Kerberos-Anmeldedaten speichert.\u00a0Aufgrund des Ausma\u00dfes dieser Bedrohung hat Microsoft 2015 mit Windows 10 den Credential Guard<\/a> eingef\u00fchrt, um Anmeldedaten und Geheimnisse durch Isolierung mit Virtualization-Based Security zu sch\u00fctzen. Bei der Funktion des Credential Guard handelt es sich um eine virtualisierungsbasierte Isolationstechnologie f\u00fcr LSASS (Local Security Authority Subsystem Service<\/a>), die Angreifer daran hindert, Anmeldedaten zu stehlen, die f\u00fcr Pass-the-Hash-Angriffe verwendet werden k\u00f6nnten.<\/p>\n Der\u00a0Credential Guard verhindert, dass Angreifer die in LSASS gespeicherten Anmeldedaten auslesen k\u00f6nnen, indem LSASS in einem virtualisierten Container ausgef\u00fchrt wird, auf den selbst Benutzer mit SYSTEM-Rechten keinen Zugriff haben. Das System erstellt dann einen Proxy-Prozess namens LSAIso (LSA Isolated) f\u00fcr die Kommunikation mit dem virtualisierten LSASS-Prozess.\u00a0Ab Windows 10 Version 20H1 ist Credential Guard nur in der Enterprise-Edition des Betriebssystems verf\u00fcgbar.<\/p>\n Leider scheint dies nicht immer zu funktionieren.\u00a0Ich bin \u00fcber nachfolgenden Tweet<\/a> auf den Beitrag\u00a0Catching Credential Guard Off Guard<\/a> vom 23. Oktober 2025 gesto\u00dfen.<\/p>\n Die Botschaft des Tweets lautet, dass Sicherheitsforscher von SpecterOps bei Analysen zeigen konnten, dass Credential Guard weiterhin unter Windows Anmeldedaten preisgeben kann. Angreifer k\u00f6nnen durch Missbrauch des Remote Credential Guard NTLMv1-Challenge-Antworten anfordern und NT-Hashes wiederherstellen. Die Sicherheitsforscher haben das Szenario detailliert in ihrem Beitrag beschrieben.<\/p>\n Diese Angriffsart ist selbst auf vollst\u00e4ndig gepatchten Windows 11-Systemen mit VBS und PPL (also dem sichersten aller Windows-Versionen) sowie unter Windows Server 2025 m\u00f6glich. Nachdem das Problem an Microsoft im August 2025 gemeldet wurde, konnte das Unternehmen dies im September 2025 reproduzieren. Gegen\u00fcber den Sicherheitsforderungen hat\u00a0Microsoft best\u00e4tigt, dass der Angriff funktioniert. Allerding hat Microsoft zum 24. September 2024 die Meldung des Problem mit \"wird nicht behoben\" gekennzeichnet und den Fall abgeschlossen. Die Forscher haben dann ein Proof of Concept (PoC) namens DumpGuard ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":" In Windows 11 und Windows Server 2025 soll der Credential Guard das Abflie\u00dfen von Anmeldedaten verhindern. Sicherheitsforscher haben nun gezeigt, dass sich der Credential Guard in Windows austricksen l\u00e4sst und weiterhin Anmeldedaten preisgeben kann. Angreifer k\u00f6nnen NTLMv1-Anmeldeinformationen abrufen. Microsoft teilte … Weiterlesen Windows Credential Guard versagt<\/h2>\n
![\"Credential](\"https:\/\/i.postimg.cc\/fRV6sFts\/image.png\")
<\/a><\/p>\n