Wie können Fehlkonfigurationen im Active Directory identifiziert werden?

Im Fokus der Kriminellen steht der Domänenadministrator. Das ist ein oder das sind mehrere Benutzer, die über die weitreichendsten Berechtigungen in der AD-Domäne verfügen. Ein Domänenadministrator darf auf jedem „Domain-Joined“ System alles: Software installieren, Sicherheitslösungen deaktivieren, Gruppenrichtlinien ändern oder hinzufügen, neue (administrative) Benutzer anlegen und so weiter. Eine Windows Active Directory Umgebung ist oft historisch gewachsen und entsprechend sind seit vielen Jahren Fehlkonfigurationen und Schwachstellen vorhanden, wenn diese nicht regelmäßig behoben werden.

Die Angreifer gehen bei ihren Attacken häufig nach Playbooks vor, in denen typische Checks durchgeführt werden, um Fehlkonfigurationen sowie Schwachstellen aufzudecken und anschließend gezielt auszunutzen. Ein beliebter und immer noch sehr häufig möglicher Angriff ist das Kerberoasting.  Dabei wird der Umstand ausgenutzt, dass für jeden Account, für den ein SPN (Service Principle Name) gesetzt ist, ein TGT (Ticket Granting Ticket) beim TGS (Ticket Granting Service [Service auf dem Domain Controller]) angefragt werden kann.

Das Besondere daran: ein Teil dieser TGTs ist mit dem Passwort-Hash des entsprechenden Accounts verschlüsselt. Dadurch ist es möglich, den TGT offline anzugreifen, um an das Klartextpasswort zu kommen. Dabei helfen Tools wie hashcat oder johntheripper. Oft haben die Accounts mit gesetzten SPN weitreichende Berechtigungen oder sogar Domänenadministrator-Berechtigungen. Schutz gibt es nur, wenn für Benutzerkonten mit gesetzten SPN ein sehr starkes Passwort (länger als 27 Zeichen) vergeben wird. Zusätzlich sollte großen Wert darauf gelegt werden, welche Benutzer Domänenadministrator-Berechtigungen bekommen.

Gefahren gehen nicht immer direkt von offensichtlichen Active Directory Fehlkonfigurationen aus. Auch ein unzureichendes Privileged Access Management (PAM) kann direkte Auswirkungen auf die Domäne haben. Insbesondere, wenn lokale Administratorkonten auf sehr vielen Systemen wiederverwendet werden.

Durch Erlangen eines solchen Kontos breiten sich Angreifer in kürzester Zeit auf allen betroffenen Systemen aus. In der Praxis, bei Penetrationstests und digitalen Forensiken, ist folgendes Szenario häufig der Fall: Fällt ein administrativer Account innerhalb einer Windows-Umgebung, ist wenige Minuten später die gesamte Domäne vollständig kompromittiert.  Daher sind die Administratoren in einem Unternehmen äußerst schützenswerte Assets.

Fehlkonfigurationen oder Bad-Practice lassen sich mit Hilfe diverser Tools feststellen. Sehr beliebt – aufgrund der grafischen Oberfläche – ist das Tool Bloodhound. Damit lassen sich Fehlkonfigurationen und Schwachstellen im AD effizient aufspüren. Es ist sowohl als kostenfreie Variante als auch kostenpflichtige Variante mit mehr Features erhältlich. Das Programm besteht aus drei Komponenten:

1) grafische Oberfläche Bloodhound

2) Datenbank backend neo4j

3) Collector Sharphound, um Informationen aus dem AD zu extrahieren

Auch wenn es sich hierbei um ein Offensive Security Tool handelt, ist es ideal für Blue Teams und IT-Administratoren, die Schwachstellen in ihrer Domäne aufspüren möchten.

Autor:

Stephan Reinert ist als Security Resulter bei der @-yet GmbH mit den Schwerpunkten Planung und Durchführung von IT-Sicherheitsüberprüfungen und allgemeine Informationssicherheitsberatung tätig. Er verfügt über mehr als fünf Jahre Erfahrung als Berater und Auditor im Bereich Informationssicherheit/IT Security und verfügt unter anderem über die Qualifikation „Offensive Security Certified Professional“ (OSCP).