Ihr könnt mit Windows HPET gegen 2FE Diebe vorgehen bzw. das System „härten“. Für moderne Zwei-Faktor Authentifizierung (2FE) ist die genaue Zeit entscheidend. Bitte beachtet das in Verbindung mit machen Intel basierenden Systemen mit alten ME sowie FW es zu Leistungseibussen kommen kann.
Die Gefahr: 2FE Diebe
Manchmal ist man auf einer Seite und muss über die 2FA einen Code aus dem Handy/PC usw. eintragen. Diese Codes sind genau Zeit-synchronisiert und erstellen sich neu z.B. alle 30 Sekunden. Gefährlich wird es, wenn einer der Rechner einen Zeitunterschied von mehr wie 30 Sekunden aufweist. Dann funktionieren die Codes nicht mehr. Wenn dann jemand diesen Code abfängt, um ihn zeitverzögert einzugeben, wird es kritisch!
In der freien Wildbahn kursieren Exploits, die sich zum Ziel gemacht haben, durch „Zeitmanipulation“ 2FA Codes abzugreifen. Diese kleinen Manipulationen können durch Bugs wie USB Verbindungssteuerung, UEFI Manipulation oder OS Manipulation ausgelöst werden. Es sind auch Nebenerzeugnisse von BUGs wie zuletzt bei VMWare mit CVE-2021-22050 und USB Controller BUG oder Ransomware, die gezielt Zwei-Wege-Authentifizierung abgreift. Diese Gefahr ist nicht neu aber immer mehr im Kommen vor allem auf mobilen Geräten.
Damit ein 2FE Dieb Erfolg hat, müssen zwei Voraussetzungen erfüllt sein:
- Der Dieb hat Zugriff entweder auf die Quelle oder das Ziel des 2FA Vorgangs
- Der Dieb hat den Zeitgeber manipuliert – dies ist notwendig, damit er den abgefangenen Code schnell selbst nutzen kann
Windows HPET gegen 2FE Diebe: wie beuge ich Zeitmanipulation vor
Selbstverständlich synchronisiert sich Windows mit einem NTP Server. Dies funktioniert jedoch nur temporär und kann einfach manipuliert werden. Wenn die BIOS/UEFI Hardware-Uhr nicht stimmt, da z.B. die Batterie auf dem Motherboard leicht unter 3V ist oder weil eine Manipulation vorliegt, ist das System „aus der Zeit“ gefallen. Zum Nachteil kommt dazu, dass Windows 7 bis 10 eher der internen BIOS-Uhr als dem NTP Server vertrauen. Erst in Windows 11 sieht es für mich besser aus (mit Luft für Verbesserungen).
Lösung in Windows: HPET gegen 2FE Diebe aktivieren bzw. tunen.
Windows HPET bedeutet High Precision Event Timer (HPET). Das ist ein hochpräziser Zeitgeber in modernen Computern. Dieser Zeitgeber arbeitet mit einer sehr hohen zeitlichen Auflösung durch Quantelung (Zerteilung einer Einheit).
Windows HPET aktivieren
Starte PowerShell als Administrator (wie man das macht erfährst du hier)
Gebe Folgendes ein:
bcdedit /set useplatformclock yesUm es wieder zu deaktivieren gebe folgenden Code ein:
bcdedit /set useplatformclock noIn Windows HPET eigenen Taktgeber aktivieren
Bei Problemen mit dem Taktgeber bzw. bei einem infizierten UEFI erscheint die Zeit trotz HPET falsch. Ist der Taktgeber in UEFI falsch, dann wird auch HPET nicht richtig funktionieren. Um dich abzusichern, verändere die Richtlinie „tscsyncpolicy“ für den Takt sowie Synchronisation des Zeitgebers. Stelle sie von Legacy (der Zeitgeber „vertraut“ der Systemuhr auch wenn diese falsch ist) auf Enhanced (Zeitgeber hat eigenen Taktgeber) um.
Gebe in der PowerShell Folgendes ein
bcdedit /set tscsyncpolicy EnhancedAbschalten kannst du es mit dem Befehl „Default“ alternativ „Legacy“:
bcdedit /set tscsyncpolicy DefaultDynamic Ticking deaktivieren
Dynamic Ticking sorgt für eine bessere Last/Energieverteilung des CPUs. Dafür wird der Taktgeber des HPETs automatisch aktiviert oder deaktiviert. Wenn aktiviert und der Taktgeber abgeschaltet wird, wird die Hardwareuhr als alleiniger Zeitgeber genutzt. Dies ist eine potenzielle Fehlerquelle, die abgeschaltet werden kann.
Gebe in PowerShell Folgendes ein
bcdedit /set disabledynamictick yesUm die Funktion wieder zu aktivieren gebe dies ein
bcdedit /set disabledynamictick noLinks zum Beitrag
- Wie starte ich PowerShell?
- Windows HPET aktivieren / tunen
- Beitrag zum 2FE und Bankingtrojaner bei Kaspersky.de (Quelle)
- Beitrag zur VMware bei Vulners.com (Quelle)
- Beitrag zum Thema Android-Malware und 2FE bei ZDnet (Quelle)
Andere Beiträge
- Bureaucracy: A Hacker’s Delight and an IT Security Nightmare
Bureaucracy: A Hacker’s Delight and an IT Security Nightmare. Ah, bureaucracy! A term that evokes as much enthusiasm as a dentist appointment or cleaning out the attic. While many of us slog through paperwork, there’s a special group that finds it delightful: hackers. Believe me, the adventure that IT security in the jungle of bureaucracy entails could easily be a bestseller! Imagine this: A hacker sits comfortably in his dark, monitor-filled lair. He takes a sip of his favorite coffee and grins widely as he scrolls through endless documents and forms. Bureaucratic errors are like Easter eggs just waiting to be found. While most of us get gray hairs from a marathon of forms, hackers see it as a goldmine. That is the reality not a film. - 26.07.2024 DDOS attack on New ZealandSome admin in NZ had a very busy day 🙂 DDPS with 100mb to 1gbs connections in a coordinated way. Umbrella or the Skynet-Shield group had started with counter attacks after 20 minutes with up to 10gbs. 10 minutes later everything was over.
- Quick FIX for the Microsoft CrowdStrike bugIt is just a quick fix for the CrowdStrike bug when your system is currently facing the blue screen of death. Just reboot into the safe mode or WRE go to: C:\Windows\System32\drivers\Crowdstrike Search for the File: C-000000291*.sys Delete this file Reboot
- CISCO Firepower FMC 100MB upload bugCISCO Firepower FMC 100MB upload bug. Somehow CISCO always manages to surprise me with unnecessary bugs that shouldn’t be there. Especially if these bugs are old and could be easily fixed by CISCO.
- IP-blocklist specifically for NAS securityIP-blocklist specifically for NAS security. I created a nice little feed with automatically updating IP addresses that specialize in attacking NAS devices
