Home » Fachbeiträge » Security Management » Wie können Fehlkonfigurationen im Active Directory identifiziert werden?

Wie können Fehlkonfigurationen im Active Directory identifiziert werden?

Das Active Directory (AD) von Microsoft ist der am häufigsten genutzte Verzeichnisdienst und Identity Provider. Zudem lassen sich darüber Ressourcen (Computer, Benutzer, Gruppen etc.) in einem AD komfortabel verwalten. Da fast jedes Unternehmen AD nutzt, ist es bei Cyberkriminellen ein ausgesprochen beliebtes Ziel. Im Fokus der Kriminellen steht der Domänenadministrator.

2 Min. Lesezeit
Foto: © adobe.stock.com/wladimir1804

Das Active Directory (AD) von Microsoft ist der am häufigsten genutzte Verzeichnisdienst und Identity Provider. Zudem lassen sich darüber Ressourcen (Computer, Benutzer, Gruppen etc.) in einem AD komfortabel verwalten. Da fast jedes Unternehmen AD nutzt, ist es bei Cyberkriminellen ein ausgesprochen beliebtes Ziel. Im Fokus der Kriminellen steht der Domänenadministrator. Das ist ein oder das sind mehrere Benutzer, die über die weitreichendsten Berechtigungen in der AD-Domäne verfügen. Ein Domänenadministrator darf auf jedem „Domain-Joined“ System alles: Software installieren, Sicherheitslösungen deaktivieren, Gruppenrichtlinien ändern oder hinzufügen, neue (administrative) Benutzer anlegen und so weiter. Eine Windows Active Directory Umgebung ist oft historisch gewachsen und entsprechend sind seit vielen Jahren Fehlkonfigurationen und Schwachstellen vorhanden, wenn diese nicht regelmäßig behoben werden.

Die Angreifer gehen bei ihren Attacken häufig nach Playbooks vor, in denen typische Checks durchgeführt werden, um Fehlkonfigurationen sowie Schwachstellen aufzudecken und anschließend gezielt auszunutzen. Ein beliebter und immer noch sehr häufig möglicher Angriff ist das Kerberoasting.  Dabei wird der Umstand ausgenutzt, dass für jeden Account, für den ein SPN (Service Principle Name) gesetzt ist, ein TGT (Ticket Granting Ticket) beim TGS (Ticket Granting Service [Service auf dem Domain Controller]) angefragt werden kann. Das Besondere daran: ein Teil dieser TGTs ist mit dem Passwort-Hash des entsprechenden Accounts verschlüsselt. Dadurch ist es möglich, den TGT offline anzugreifen, um an das Klartextpasswort zu kommen. Dabei helfen Tools wie hashcat oder johntheripper. Oft haben die Accounts mit gesetzten SPN weitreichende Berechtigungen oder sogar Domänenadministrator-Berechtigungen. Schutz gibt es nur, wenn für Benutzerkonten mit gesetzten SPN ein sehr starkes Passwort (länger als 27 Zeichen) vergeben wird. Zusätzlich sollte großen Wert darauf gelegt werden, welche Benutzer Domänenadministrator-Berechtigungen bekommen.

Gefahren gehen nicht immer direkt von offensichtlichen Active Directory Fehlkonfigurationen aus. Auch ein unzureichendes Privileged Access Management (PAM) kann direkte Auswirkungen auf die Domäne haben. Insbesondere, wenn lokale Administratorkonten auf sehr vielen Systemen wiederverwendet werden. Durch Erlangen eines solchen Kontos breiten sich Angreifer in kürzester Zeit auf allen betroffenen Systemen aus. In der Praxis, bei Penetrationstests und digitalen Forensiken, ist folgendes Szenario häufig der Fall: Fällt ein administrativer Account innerhalb einer Windows-Umgebung, ist wenige Minuten später die gesamte Domäne vollständig kompromittiert.  Daher sind die Administratoren in einem Unternehmen äußerst schützenswerte Assets.

Fehlkonfigurationen oder Bad-Practice lassen sich mit Hilfe diverser Tools feststellen. Sehr beliebt – aufgrund der grafischen Oberfläche – ist das Tool Bloodhound. Damit lassen sich Fehlkonfigurationen und Schwachstellen im AD effizient aufspüren. Es ist sowohl als kostenfreie Variante als auch kostenpflichtige Variante mit mehr Features erhältlich. Das Programm besteht aus drei Komponenten:

1) grafische Oberfläche Bloodhound

2) Datenbank backend neo4j

3) Collector Sharphound, um Informationen aus dem AD zu extrahieren

Auch wenn es sich hierbei um ein Offensive Security Tool handelt, ist es ideal für Blue Teams und IT-Administratoren, die Schwachstellen in ihrer Domäne aufspüren möchten.

Wenn Sie lösungsorientiert tiefer ins Thema einsteigen möchten, empfehlen wir Ihnen das Seminar „Sicherheit Active Directory – Sicheres Design und sichere Konfiguration“ am 6. September 2022 oder aber auch den direkten Kontakt zur @-yet GmbH.

Autor

Stephan Reinert ist als Security Resulter bei der @-yet GmbH mit den Schwerpunkten Planung und Durchführung von IT-Sicherheitsüberprüfungen und allgemeine Informationssicherheitsberatung tätig. Er verfügt über mehr als fünf Jahre Erfahrung als Berater und Auditor im Bereich Informationssicherheit/IT Security und verfügt unter anderem über die Qualifikation „Offensive Security Certified Professional“ (OSCP).

 

 

Andere interessante Fachbeiträge

Gefahr Fehlkonstruktion

Mehr und mehr Organisationen stellen ihre IT-Architektur auf die Nutzung von Multicloud-Umgebungen um – nicht zuletzt, um einen Vendor Lock-in zu verhindern. Die Analysten von KPMG stellten diesen Trend bereits 2020 fest, denn 87 Prozent der dort befragten Großunternehmen ab 2.000 Mitarbeiter richteten ihre Strategie entsprechend aus.

Was auf die Gerätelandschaft zukommt

Viele Entwickler von Sicherheitslösungen haben es sich zum Ziel gesetzt, mit den wichtigsten Trends Schritt zu halten und verwertbare Informationen zu gewinnen. Nach aktuellen Erkenntnissen zeichnet sich eine Reihe von Trends in der Cyber-Bedrohungslandschaft ab.

Outsourcing als Strategie gegen komplexe Security

Einfach war früher. Seit Cyberangriffe mit voller Wucht und mit wechselnden Methoden auf die Unternehmen hereinbrechen, fühlen sich Security-Teams wie Hamster im Laufrad. Sie schließen Sicherheitslücken und decken sich mit immer mehr neuen Sicherheitstools ein, wie die steigenden Ausgaben für IT-Sicherheit zeigen. Und am Ende werden sie doch Opfer eines Angriffs.