Angriffe auf KRITIS in Deutschland

Windows HPET gegen 2FE Diebe

Ihr könnt mit Windows HPET gegen 2FE Diebe vorgehen bzw. das System “härten”. Für moderne Zwei-Faktor Authentifizierung (2FE) ist die genaue Zeit entscheidend. Bitte beachtet das in Verbindung mit machen Intel basierenden Systemen mit alten ME sowie FW es zu Leistungseibussen kommen kann.

Die Gefahr: 2FE Diebe

Manchmal ist man auf einer Seite und muss über die 2FA einen Code aus dem Handy/PC usw. eintragen. Diese Codes sind genau Zeit-synchronisiert und erstellen sich neu z.B. alle 30 Sekunden. Gefährlich wird es, wenn einer der Rechner einen Zeitunterschied von mehr wie 30 Sekunden aufweist. Dann funktionieren die Codes nicht mehr. Wenn dann jemand diesen Code abfängt, um ihn zeitverzögert einzugeben, wird es kritisch! 

In der freien Wildbahn kursieren Exploits, die sich zum Ziel gemacht haben, durch “Zeitmanipulation” 2FA Codes abzugreifen. Diese kleinen Manipulationen können durch Bugs wie USB Verbindungssteuerung, UEFI Manipulation oder OS Manipulation ausgelöst werden. Es sind auch Nebenerzeugnisse von BUGs wie zuletzt bei VMWare mit CVE-2021-22050 und USB Controller BUG oder Ransomware, die gezielt Zwei-Wege-Authentifizierung abgreift. Diese Gefahr ist nicht neu aber immer mehr im Kommen vor allem auf mobilen Geräten.

Damit ein 2FE Dieb Erfolg hat, müssen zwei Voraussetzungen erfüllt sein:

  1. Der Dieb hat Zugriff entweder auf die Quelle oder das Ziel des 2FA Vorgangs
  2. Der Dieb hat den Zeitgeber manipuliert – dies ist notwendig, damit er den abgefangenen Code schnell selbst nutzen kann

Windows HPET gegen 2FE Diebe: wie beuge ich Zeitmanipulation vor

Selbstverständlich synchronisiert sich Windows mit einem NTP Server. Dies funktioniert jedoch nur temporär und kann einfach manipuliert werden. Wenn die BIOS/UEFI Hardware-Uhr nicht stimmt, da z.B. die Batterie auf dem Motherboard leicht unter 3V ist oder weil eine Manipulation vorliegt, ist das System “aus der Zeit” gefallen. Zum Nachteil kommt dazu, dass Windows 7 bis 10 eher der internen BIOS-Uhr als dem NTP Server vertrauen. Erst in Windows 11 sieht es für mich besser aus (mit Luft für Verbesserungen).

Lösung in Windows: HPET gegen 2FE Diebe aktivieren bzw. tunen.

Windows HPET bedeutet High Precision Event Timer (HPET). Das ist ein hochpräziser Zeitgeber in modernen Computern. Dieser Zeitgeber arbeitet mit einer sehr hohen zeitlichen Auflösung durch Quantelung (Zerteilung einer Einheit).

Windows HPET aktivieren

Starte PowerShell als Administrator (wie man das macht erfährst du hier)

Gebe Folgendes ein:

bcdedit /set useplatformclock yes

Um es wieder zu deaktivieren gebe folgenden Code ein:

bcdedit /set useplatformclock no

In Windows HPET eigenen Taktgeber aktivieren

Bei Problemen mit dem Taktgeber bzw. bei einem infizierten UEFI erscheint die Zeit trotz HPET falsch. Ist der Taktgeber in UEFI falsch, dann wird auch HPET nicht richtig funktionieren. Um dich abzusichern, verändere die Richtlinie “tscsyncpolicy” für den Takt sowie Synchronisation des Zeitgebers. Stelle sie von Legacy (der Zeitgeber “vertraut” der Systemuhr auch wenn diese falsch ist) auf Enhanced (Zeitgeber hat eigenen Taktgeber) um.

Gebe in der PowerShell Folgendes ein

bcdedit /set tscsyncpolicy Enhanced

Abschalten kannst du es mit dem Befehl “Default” alternativ “Legacy”:

bcdedit /set tscsyncpolicy Default

Dynamic Ticking deaktivieren

Dynamic Ticking sorgt für eine bessere Last/Energieverteilung des CPUs. Dafür wird der Taktgeber des HPETs automatisch aktiviert oder deaktiviert. Wenn aktiviert und der Taktgeber abgeschaltet wird, wird die Hardwareuhr als alleiniger Zeitgeber genutzt. Dies ist eine potenzielle Fehlerquelle, die abgeschaltet werden kann.

Gebe in PowerShell Folgendes ein

bcdedit /set disabledynamictick yes

Um die Funktion wieder zu aktivieren gebe dies ein

bcdedit /set disabledynamictick no

Links zum Beitrag

Andere Beiträge

  • IP-blocklist specifically for NAS security
    IP-blocklist specifically for NAS security. I created a nice little feed with automatically updating IP addresses that specialize in attacking NAS devices
  • Version 5.1 for iOS
    New Version 5.1 for iOS – Exactly 10 years ago I published my first app for iOS. Back then it was for a company and not for me. How quickly time flies 😊
  • The perfect place for research
    the perfect place for research. I think I found a new bug and a vulnerability in CISCOs Firepower 6.7 in combo with a grey tunnel. I asked a friend for doublecheck them. When he confirms you will read about it soon in CISA 😉
  • First “extraterrestrial” hacking connection
    Our first “extraterrestrial” hacking connection. In one case the attacker had a powerful server from HP with the old esxi 6.7 😉 I think some of them need a good admin more than my non-existent data. I would say: a admin can be a hacker but not every hacker is a good admin
  • New update for my ip-blocklist
    update for my ip-blocklist. The list addresses the purposes of German KRITIS Infrastructure (system critical infrastructure) services. The listed IP-ranges are specially known for attacks on that infrastructure. But as some friends from US and Asia told me my list is very useful for them too because of a simple fact that it blocks professional hacking attempts on critical systems.

Ähnlich...

Popular Posts