IT-Verantwortliche konzentrieren sich seit langem auf die klassische Netzwerk- und Client-Sicherheit, beispielsweise durch Firewalls und Malware-Scanner. Dann lag der Fokus auf Webanwendungen. AD Security als zentraler Referenzdienst im Herzen der Organisation fristet oft ein Schattendasein.
Einerseits fehlt das Wissen über seine grundlegenden sicherheitstechnischen Eigenschaften. Zum Beispiel: Jeder Benutzer kann viele Informationen über die Domäne abrufen, beispielsweise Gruppenmitgliedschaften anderer Benutzer oder deren Beschreibungsfeld, das manchmal Kennworthinweise enthält. Angreifer knackt während „Kerberoasting“ schwache Passwörter für Offline-Dienstkonten. Und: Wenn eine Domäne kompromittiert wird, sind alle Domänen in derselben Gesamtstruktur betroffen – die Gesamtstruktur, nicht die Domäne, ist die Sicherheitsgrenze.
AD aus Sicht des Angreifers
Andererseits setzt moderne Ransomware auf Werbung. Beendet die Infektion, wenn sie einen Computer trifft, der nicht Teil davon ist. In einer Domäne hingegen verbreitet sich Malware automatisch von einem System zum anderen. Es nutzt selbstständig Schwachstellen und Fehlkonfigurationen aus: zum Beispiel Lücken in Zugriffskontrolllisten, die durch eine breite Rechtedelegierung entstanden sind, durch die ein normaler Benutzer das Kennwort eines Administrators zurücksetzen könnte.
Lateral Movement ist für Angreifer unerlässlich, wobei sie sich nach und nach vom ursprünglich infizierten Computer über andere Systeme zum Kronjuwel, wie einem Datenbankserver oder Domänencontroller, bewegen. Dazu müssen sie das nächste Ziel auf Netzwerkebene erreichen und ein Konto kompromittieren, das das Recht hat, sich dort anzumelden, beispielsweise ein lokaler Administrator.
Grafische Angriffstools wie „BloodHound“ visualisieren die Verbindungen zwischen AD-Benutzern und Computern und finden den schnellsten Weg zu einem Domänenadministrator inklusive vieler Zwischenschritte. Ein solches Administratorkonto ist leichte Beute, wenn sich Systemadministratoren damit an normalen Servern oder Clients anmelden oder es in Windows-Systemdienste einführen.
Wenn die Angreifer einen Domänenadministrator kompromittiert haben, ist AD ausgefallen. Sie verteilen Ihre Verschlüsselungssoftware per Gruppenrichtlinie an alle verbundenen Computer. In schlecht gesicherten Umgebungen kann es weniger als 24 Stunden von der ersten Infektion bis zur Lähmung aller Systeme einschließlich Backup-Servern dauern – lesen Sie die Vorfallberichte auf thedfirreport.com. Verfügt das Opfer nicht über zuverlässig wiederherstellbare Offline-Backups, wird der Erpressungsversuch zum existenziellen Risiko.
Sichere Werbung ist möglich
Kernkomponenten von Windows, Domänendienste und die eng verwandten Active Directory Certificate Services (ADCS) sind manchmal von Schwachstellen betroffen – sie müssen schnell gepatcht werden. Kostenlose Überprüfungstools wie „PingCastle“ oder „Purple Knight“ offenbaren einige schwerwiegende Fehlkonfigurationen, die Administratoren manuell beheben.
Eine Schlüsselstrategie gegen Lateral Movement ist eine stärkere Netzwerksegmentierung; Dies kann mit der integrierten Windows-Firewall erfolgen. Clients müssen andere Clients nicht erreichen, und die meisten Server auch nicht. Zweitens müssen Unternehmen privilegierte Accounts besser schützen: durch die schrittweise Umsetzung des Prinzips der geringsten Rechte und anderer Maßnahmen wie regelmäßige Passwortprüfungen, Passwortfilter und Multi-Faktor-Authentifizierung.
———-
Am häufigsten sind alte, unsichere Konfigurationsstandards
Gezielte Angriffssimulationen zeigen, welche Active Directory-Schwachstellen ausgenutzt werden und welche Konfigurationsstandards am stärksten betroffen sind. Mit einem Security Audit der Active Directory Konfiguration können Unternehmen ihren Schutz optimal aufstellen. Interview: Tanja Metauer
Welche Services bietet Oneconsult seinen Kunden zum Schutz vor Active Directory-Angriffen?
Fabian Gonzalez: Das Active Directory Configuration Security Audit überprüft umfassend die Sicherheit einer AD-Umgebung. Wir verwenden Programme wie „BloodHound“, „PingCastle“ und „PowerView“. Mit dem Tool „BloodHound“ können die Beziehungen zwischen eingeloggten Domain-Benutzern, Gruppen und Geräten in der Domain analysiert und als Graph visualisiert werden. Das Audit kann mit Fokus auf hochprivilegierte Benutzergruppen oder auf Server durchgeführt werden. Darüber hinaus können Referenzinstallationen von Windows, Gruppenrichtlinieneinstellungen oder Active Directory Certificate Services (ADCS) überwacht werden. Der Kunde gibt uns Lesezugriff auf alle Einstellungen, wodurch wir sicherheitsrelevante Fehlkonfigurationen effektiv identifizieren können. Kunden, die bereits über ein höheres Sicherheitsniveau verfügen, können durch Simulationen gezielter Angriffe – sogenanntes Red Pooling – prüfen, ob vorhandene Sicherheitsmechanismen ausreichen, um einen Angriff auf AD zu verhindern oder zumindest sehr zu erschweren.
Wie funktioniert die Reaktion auf Vorfälle, wenn ein Kunde Ihnen ein kompromittiertes Active Directory meldet?
Kompromittierte Werbung ist oft ein „Begleiter“ eines viel größeren Cyberangriffs wie Ransomware. Wird AD kompromittiert, muss davon ausgegangen werden, dass die Angreifer die Kontrolle über das gesamte Netzwerk haben und im schlimmsten Fall das Passwort jedes Benutzers kennen. Daher besteht eine der ersten Maßnahmen zur Begrenzung des Angriffs darin, die Passwörter aller Benutzer zu ändern. Administrative Benutzerkonten, einschließlich Dienstkonten, sollten Vorrang haben. Konten, die derzeit nicht benötigt werden, können vorübergehend deaktiviert werden. Darüber hinaus wird AD verifiziert und gesichert, indem es auf mögliche Änderungen und Schwachstellen gescannt wird. Es ist schwierig, das volle Ausmaß des Schadens und der Aktivitäten von Angreifern bei einer AD-Verletzung zu bestimmen. In solchen Fällen empfehlen wir eine vollständige Active Directory-Wiederherstellung. Nur so kann sichergestellt werden, dass Angreifer vollständig ausgesperrt werden.
Was sind die häufigsten sicherheitsbezogenen Fehlkonfigurationen, denen Sie in Active Directory begegnen?
Am häufigsten sind alte, unsichere Standardeinstellungen, die bei der erstmaligen Einrichtung von AD oder bei der Installation zusätzlicher Anwendungen wie Microsoft Exchange festgelegt wurden. Diese Einstellungen gelten weiterhin, wenn Updates angewendet werden, und können sich auf Systeme auswirken, die auf dem neuesten Stand sind. Ein Beispiel sind ältere Installationen von Microsoft Exchange, bei denen Exchange-Objekte erhöhte Berechtigungen in AD haben. Ein Angreifer, der erfolgreich einen Exchange-Server kompromittiert, kann aufgrund der Standardeinstellungen Domänenadministratorrechte erlangen. Weitere Beispiele sind das Erzwingen von LDAP- und SMB-Signaturen. Das Signieren wird hier standardmäßig unterstützt, trifft aber nicht in allen Fällen zu. Unsichere Verbindungen werden weiterhin akzeptiert.
Add Comment