Angriffe auf KRITIS in Deutschland

Windows HPET gegen 2FE Diebe

Ihr könnt mit Windows HPET gegen 2FE Diebe vorgehen bzw. das System „härten“. Für moderne Zwei-Faktor Authentifizierung (2FE) ist die genaue Zeit entscheidend. Bitte beachtet das in Verbindung mit machen Intel basierenden Systemen mit alten ME sowie FW es zu Leistungseibussen kommen kann.

Die Gefahr: 2FE Diebe

Manchmal ist man auf einer Seite und muss über die 2FA einen Code aus dem Handy/PC usw. eintragen. Diese Codes sind genau Zeit-synchronisiert und erstellen sich neu z.B. alle 30 Sekunden. Gefährlich wird es, wenn einer der Rechner einen Zeitunterschied von mehr wie 30 Sekunden aufweist. Dann funktionieren die Codes nicht mehr. Wenn dann jemand diesen Code abfängt, um ihn zeitverzögert einzugeben, wird es kritisch! 

In der freien Wildbahn kursieren Exploits, die sich zum Ziel gemacht haben, durch „Zeitmanipulation“ 2FA Codes abzugreifen. Diese kleinen Manipulationen können durch Bugs wie USB Verbindungssteuerung, UEFI Manipulation oder OS Manipulation ausgelöst werden. Es sind auch Nebenerzeugnisse von BUGs wie zuletzt bei VMWare mit CVE-2021-22050 und USB Controller BUG oder Ransomware, die gezielt Zwei-Wege-Authentifizierung abgreift. Diese Gefahr ist nicht neu aber immer mehr im Kommen vor allem auf mobilen Geräten.

Damit ein 2FE Dieb Erfolg hat, müssen zwei Voraussetzungen erfüllt sein:

  1. Der Dieb hat Zugriff entweder auf die Quelle oder das Ziel des 2FA Vorgangs
  2. Der Dieb hat den Zeitgeber manipuliert – dies ist notwendig, damit er den abgefangenen Code schnell selbst nutzen kann

Windows HPET gegen 2FE Diebe: wie beuge ich Zeitmanipulation vor

Selbstverständlich synchronisiert sich Windows mit einem NTP Server. Dies funktioniert jedoch nur temporär und kann einfach manipuliert werden. Wenn die BIOS/UEFI Hardware-Uhr nicht stimmt, da z.B. die Batterie auf dem Motherboard leicht unter 3V ist oder weil eine Manipulation vorliegt, ist das System „aus der Zeit“ gefallen. Zum Nachteil kommt dazu, dass Windows 7 bis 10 eher der internen BIOS-Uhr als dem NTP Server vertrauen. Erst in Windows 11 sieht es für mich besser aus (mit Luft für Verbesserungen).

Lösung in Windows: HPET gegen 2FE Diebe aktivieren bzw. tunen.

Windows HPET bedeutet High Precision Event Timer (HPET). Das ist ein hochpräziser Zeitgeber in modernen Computern. Dieser Zeitgeber arbeitet mit einer sehr hohen zeitlichen Auflösung durch Quantelung (Zerteilung einer Einheit).

Windows HPET aktivieren

Starte PowerShell als Administrator (wie man das macht erfährst du hier)

Gebe Folgendes ein:

bcdedit /set useplatformclock yes

Um es wieder zu deaktivieren gebe folgenden Code ein:

bcdedit /set useplatformclock no

In Windows HPET eigenen Taktgeber aktivieren

Bei Problemen mit dem Taktgeber bzw. bei einem infizierten UEFI erscheint die Zeit trotz HPET falsch. Ist der Taktgeber in UEFI falsch, dann wird auch HPET nicht richtig funktionieren. Um dich abzusichern, verändere die Richtlinie „tscsyncpolicy“ für den Takt sowie Synchronisation des Zeitgebers. Stelle sie von Legacy (der Zeitgeber „vertraut“ der Systemuhr auch wenn diese falsch ist) auf Enhanced (Zeitgeber hat eigenen Taktgeber) um.

Gebe in der PowerShell Folgendes ein

bcdedit /set tscsyncpolicy Enhanced

Abschalten kannst du es mit dem Befehl „Default“ alternativ „Legacy“:

bcdedit /set tscsyncpolicy Default

Dynamic Ticking deaktivieren

Dynamic Ticking sorgt für eine bessere Last/Energieverteilung des CPUs. Dafür wird der Taktgeber des HPETs automatisch aktiviert oder deaktiviert. Wenn aktiviert und der Taktgeber abgeschaltet wird, wird die Hardwareuhr als alleiniger Zeitgeber genutzt. Dies ist eine potenzielle Fehlerquelle, die abgeschaltet werden kann.

Gebe in PowerShell Folgendes ein

bcdedit /set disabledynamictick yes

Um die Funktion wieder zu aktivieren gebe dies ein

bcdedit /set disabledynamictick no

Links zum Beitrag

Andere Beiträge

  • Bureaucracy: A Hacker’s Delight and an IT Security Nightmare
    Bureaucracy: A Hacker’s Delight and an IT Security Nightmare. Ah, bureaucracy! A term that evokes as much enthusiasm as a dentist appointment or cleaning out the attic. While many of us slog through paperwork, there’s a special group that finds it delightful: hackers. Believe me, the adventure that IT security in the jungle of bureaucracy entails could easily be a bestseller! Imagine this: A hacker sits comfortably in his dark, monitor-filled lair. He takes a sip of his favorite coffee and grins widely as he scrolls through endless documents and forms. Bureaucratic errors are like Easter eggs just waiting to be found. While most of us get gray hairs from a marathon of forms, hackers see it as a goldmine. That is the reality not a film.
  • 26.07.2024 DDOS attack on New Zealand
    Some admin in NZ had a very busy day 🙂 DDPS with 100mb to 1gbs connections in a coordinated way. Umbrella or the Skynet-Shield group had started with counter attacks after 20 minutes with up to 10gbs. 10 minutes later everything was over.
  • Quick FIX for the Microsoft CrowdStrike bug
    It is just a quick fix for the CrowdStrike bug when your system is currently facing the blue screen of death. Just reboot into the safe mode or WRE go to: C:\Windows\System32\drivers\Crowdstrike Search for the File: C-000000291*.sys Delete this file Reboot
  • CISCO Firepower FMC 100MB upload bug
    CISCO Firepower FMC 100MB upload bug. Somehow CISCO always manages to surprise me with unnecessary bugs that shouldn’t be there. Especially if these bugs are old and could be easily fixed by CISCO.
  • IP-blocklist specifically for NAS security
    IP-blocklist specifically for NAS security. I created a nice little feed with automatically updating IP addresses that specialize in attacking NAS devices

Ähnlich...

Popular Posts