Passwörter im Klartext - Beliebte Angriffe und Gegenmaßnahmen

Im Blogartikel zum Active Directory haben wir uns mit dem Cracken von Passwort-Hashes beschäftigt. Anstatt Passwörter zu knacken, können Angreifer aber auch direkt nach Passwörtern im Klartext suchen. Hier gibt es diverse Bereiche, in denen ein Angreifer fündig werden kann. Um einem potenziellen Angreifer zuvorzukommen, sollte man zumindest die beiden folgenden Speicherorte kennen.

In einer AD-Struktur haben AD-Objekte unterschiedliche Attribute, um weitere Informationen abspeichern zu können. Wenn derartige AD-Attribute allerdings zum Speichern von sensiblen Daten verwendet werden, kann sich dies ein Angreifer zunutze machen. In der Praxis konnten wir häufig beobachten, dass das Attribut „Beschreibung“ von Benutzerkonten oder auch benutzerdefinierte Attribute dazu verwendet werden, um Passwörter im Klartext abzuspeichern. Da die Standardeinstellungen im AD es jedem AD-Benutzer erlauben, die AD-Attribute auszulesen, hat ein Angreifer so schnell Zugriff auf die Klartextpasswörter von fremden Nutzern.

Eine seit Langem bekannte Fehlkonfiguration sind zudem GPP-Credentials in der SYSVOL-Freigabe. Diese Standard-Netzwerkfreigabe in AD-Umgebungen ist für jeden AD-Benutzer zugänglich. Die sogenannten Gruppenrichtlinien-Einstellungen ermöglichten es Administratoren, Richtlinien mit darin eingebetteten Zugangsdaten zu erstellen. Die Zugangsdaten werden mit einem von Microsoft erstellten geheimen Schlüssel verschlüsselt, der für alle Domänen weltweit im Einsatz ist. Jedoch veröffentlichte Microsoft vor einigen Jahren genau diesen Schlüssel aus Versehen auf seiner Entwicklerseite. Ein von Microsoft anschließend veröffentlichter Patch verhindert zwar, dass Administratoren neue Zugangsdaten in den Gruppenrichtlinien-Einstellungen einbetten, jedoch werden bereits vorhandene Zugangsdaten nicht aus den SYSVOL-Freigaben entfernt. Die Anmeldedaten können für einen Dienst, eine geplante Aufgabe, aber auch für den lokalen Administrator hinterlegt worden sein.

Sowohl die benutzerdefinierten Attribute für Benutzer- und Computerobjekte, also auch das Beschreibungsfeld, sind auf sensible Informationen hin zu überprüfen und gegebenenfalls zu bereinigen. Hier kann beispielsweise das PowerShell-Modul für Active Directory helfen, um alle gewünschten Attribute auszulesen.

Anfällige GPP müssen identifiziert und bereinigt werden. Microsoft stellt im Artikel zu MS14-025 ein Skript bereit, um die anfälligen Objekte zu identifizieren.

Hinweis: Neben der AD-Struktur enthalten oft auch Netzlaufwerke Klartextpasswörter – in PowerShell-Skripten, Excel-Sheets, Anleitungen oder eigens für Passwörter angelegten Textdateien. Aber auch die Arbeitsbereiche der Mitarbeiter sind betroffen. So stellen wir oft fest, dass Mitarbeiter Anwendungen als Passwortmanager zweckentfremden (z. B. Microsoft Outlook oder Notizanwendungen).

Daher sollten die Security-Awareness-Schulungen für Mitarbeiter zwingend das Thema Passwortverwaltung enthalten.

Insgesamt ist das AD als Herzstück der Unternehmens-IT ein beliebtes Angriffsziel. Mittels verschiedenster Angriffstechniken, insbesondere solche mit Passwortbezug, können Angreifer mit wenig Aufwand großen Schaden anrichten. Das Active Directory sollte daher präventiv gut abgesichert werden. Fernao security force GmbH unterstützt Sie gerne dabei mit einem AD Audit. Unsere Red-Team-Experten untersuchen dabei Ihr Active Directory innerhalb von 7 Tagen aus der Angreiferperspektive systematisch auf relevante Schwachstellen – auch außerhalb des Bereiches „Passwort“. Im Ergebnis erhalten Sie einen detaillierten Bericht mit strukturierten Informationen zu bestehenden Schwachstellen und fehlenden Härtungsmaßnahmen. Mit Hilfe der konkreten Handlungsempfehlungen können Sie die gesamte AD- und Netzwerksicherheit verbessern und den Schutz vor einem Angriff nachhaltig erhöhen. Sprechen Sie uns einfach an.