Active Directory - Wie Schwachstellen mit Passwortbezug Angriffe auf Ihre IT-Infrastruktur ermöglichen

In Angriffssimulationen und Red Team Assessments bei Unternehmen und deren IT-Infrastrukturen begegnen uns häufig dieselben Probleme und Schwachstellen – insbesondere das Active Directory ist ein beliebtes Ziel. Aus diesen Erkenntnissen haben wir Sicherheitsüberprüfungen abgeleitet und Workshopinhalte definiert, bei denen wir die Ursachen der Schwachstellen gezielt angehen. In unserer Blog-Reihe geben wir Ihnen einen Einblick in diese Themen. Gleichzeitig wollen wir wertvolle Tipps vermitteln, wie Sie die Sicherheit der eigenen Infrastruktur erhöhen können.

Diese Blog-Reihe zeigt, wie Schwachstellen im Active Directory und der unsichere Umgang mit Passwörtern Angreifern den Zugriff auf vertrauliche Systeme und Daten erlauben, welche Maßnahmen Abhilfe schaffen und wie Sie mit einem AD-Audit die Netzwerksicherheit nachhaltig erhöhen können.

Ein wesentlicher Grund dafür, warum sich Angreifer leicht im internen Netzwerk fortbewegen und weitreichende Rechte für den Zugriff auf vertrauliche Systeme und Daten erlangen, ist ein unsicher konfiguriertes Active Directory (AD). Da im AD alle für die Organisation wesentlichen Systeme zentral verwaltet und konfiguriert werden, ermöglichen entsprechende administrative Rechte einem Angreifer weitreichende Zugriffsmöglichkeiten auf das gesamte Netzwerk. Aus diesem Grund ist das AD als Herzstück der IT das Hauptangriffsziel in einem Unternehmensnetzwerk.

In unseren Angriffssimulationen gelingt es uns regelmäßig und oft in kürzester Zeit, das Active Directory zu kompromittieren. Im einfachsten Fall nutzen wir dafür technische Schwachstellen (z.B. Zerologon CVE-2020-1472) oder Fehlkonfigurationen (z.B. „Certified Pre-Owned“) aus. Meistens handelt es sich allerdings um eine Verkettung von mehreren Schwachstellen. Eine wesentliche Rolle spielt hier die Übernahme von AD-Benutzerkonten. Dabei ist nicht einmal die Übernahme des Domänen-Administrators selbst notwendig, auch andere Benutzergruppen und weniger privilegierte Benutzer im AD-Umfeld reichen einem Angreifer oft schon aus.

Eine der häufigsten Ursachen für eine Kompromittierung des AD ist daher der unsichere Umgang mit Passwörtern, der letztendlich zu einer Übernahme eines AD-Benutzerkontos führen kann. Erschwerend kommt hinzu, dass unsichere Passwörter zusätzlich als Eintrittstor in das Unternehmen dienen und Angreifern initialen Zugriff in das Netzwerk gewähren können. Im Folgenden gehen wir auf einige Schwachstellen im AD mit Passwortbezug ein und zeigen auf, welche Maßnahmen Abhilfe schaffen.

Mindestens 8 Zeichen, Sonderzeichen, Klein- und Großbuchstaben und periodisch wechseln – oder jetzt doch nicht? Die Anforderungsliste an sichere Passwörter ist meist lang und oft auch widersprüchlich. Im Microsoft-Ökosystem (Active Directory, AD und Azure Active Directory, AAD) spielen benutzergenerierte Passwörter eine wichtige Rolle. Sie sind daher in den jeweiligen Sicherheitskonzepten zu berücksichtigen. Für einige wohl überraschend: Bei vielen AD-Schwachstellen mit Passwortbezug spielt die eigentliche Passwortstärke eine untergeordnete Rolle. Häufigere Ursachen dagegen sind Schwächen in der Konfiguration oder der Umgang mit Passwörtern.

Hinzu kommt, dass der Einsatz von Azure-Diensten und AAD die externe Angriffsfläche erweitert und Angriffe über das Internet auf AD-Zugangsdaten begünstigt. Vielen Unternehmen ist dabei gar nicht bewusst, dass sie den Cloud-Identitätsdienst AAD nutzen. Dieser Dienst ist bei der Verwendung von Azure-Diensten oder Microsoft 365 automatisch und standardmäßig aktiv. Angreifer können die im Internet exponierten Authentifizierungs-Schnittstellen nutzen, um AD-Zugangsdaten anzugreifen oder um nützliche Informationen für weiterführende Angriffe zu sammeln.

Es ist daher wichtig, Angriffstechniken auf AD-Zugangsdaten zu kennen, um die eigene Infrastruktur besser schützen zu können. In den folgenden Teilen unserer Blog-Reihe stellen wir einige Angriffe vor, die in der Praxis häufig zur Übernahme von AD-Benutzerkonten führen:

• Teil 1: Password-Spraying
• Teil 2: Cracken von Passwort-Hashes
• Teil 3: Abgreifen von Passwörtern im Klartext

Um Ihr Active Directory gegen mögliche Angriffe zu schützen, müssen Sie die Angriffstechniken auf AD-Infrastrukturen kennen sowie geeignete Maßnahmen ableiten und priorisieren. Einige in dieser Blogreihe dargestellten Maßnahmen zur Passwortsicherheit lassen sich direkt umsetzen.

Unsere Erfahrungen zeigen allerdings, dass AD-Infrastrukturen und deren Konfiguration sehr komplex und anfällig für zahlreiche Schwachstellen sind – nicht nur in Bezug auf den Themenbereich „Passwort“. Daher haben unsere Red-Team-Experten ein AD-Audit entwickelt, in dem wir Ihr Active Directory innerhalb von 7 Tagen aus der Angreiferperspektive systematisch auf relevante Schwachstellen untersuchen und unsere Erfahrungen aus der Praxis einbringen.

Alle notwendigen Voraussetzungen werden vorab in einem Kick-Off-Meeting besprochen. Für die Tests benötigen unsere Experten Zugriff auf ein Domain-joined Windows-System im internen Netzwerk sowie einen AD-Benutzer ohne spezielle Berechtigungen. Der Zugriff erfolgt wahlweise über einen Remote-Zugang oder bei einem Vor-Ort-Termin. Anschließend können unsere Experten weitestgehend autark arbeiten und benötigen lediglich einen Ansprechpartner für potenzielle Rückfragen.

Als Ergebnis des AD-Audits erhalten Sie von uns einen detaillierten Bericht mit strukturierten Informationen zu bestehenden Schwachstellen und fehlenden Härtungsmaßnahmen. Mit Hilfe der konkreten Handlungsempfehlungen aus dem Bericht können Sie die gesamte AD- und Netzwerksicherheit verbessern und den Schutz vor einem echten Angriff nachhaltig erhöhen. Ergänzend dazu bieten wir bei Bedarf auch einen abschließenden Workshop mit den relevanten Ansprechpartnern an, in dem wir die identifizierten Schwachstellen und Angriffstechniken vorstellen sowie geeignete Sicherheitsmaßnahmen diskutieren.