Password-Spraying - Beliebte Angriffe und mögliche Gegenmaßnahmen

Im ersten Teil unserer Serie „Active Directory: Wie Schwachstellen mit Passwortbezug Angriffe auf Ihre IT-Infrastruktur ermöglichen“ sind wir näher auf das AD als Angriffsziel eingegangen. Wir haben die Notwendigkeit einer Härtung des Active Directorys hervorgehoben. Doch welche konkreten Schwachstellen mit Passwortbezug nutzen Angreifer aus? Welche Rolle spielt hierbei das Cracken von Passwort-Hashes? An welchen Stellschrauben müssen Sie ansetzen, um es einem potenziellen Angreifer möglichst schwer zu machen? Diese Fragen klären wir in den weiteren Teilen unserer Serie. In diesem Artikel gehen wir näher auf „Password-Spraying“ ein.

Eine beliebte Angriffstechnik, die Angreifer gegen das Active Directory und AAD nutzen, ist das sogenannte Password-Spraying. Im Gegensatz zum klassischen Brute-Force-Angriff, bei dem für ein Benutzerkonto eine Liste an möglichen Passwörtern durchprobiert wird, werden beim Password-Spraying gezielt einzelne Passwortkandidaten für eine ganze Liste an Benutzerkonten verwendet. Erfahrungsgemäß gibt es nahezu immer mindestens einen AD-Benutzer, der sein Passwort nach einem unsicheren Schema, wie z. B. <Firmennamen><Jahreszahl> oder <Jahreszeit><Jahreszahl>, setzt. Alternativ werden beim Sprayen gerne bereits bekannte Passwörter aus Datenlecks verwendet. Diese Passwörter werden für alle bestehenden AD-Benutzerkonten getestet, bis man eine korrekte Kombination findet. Indem man beim Sprayen nur ein Passwort pro AD-Benutzer ausprobiert, lassen sich im AD konfigurierte Passwortlichtlinien umgehen, die ab einer bestimmten Anzahl fehlerhafter Anmeldeversuche das entsprechende AD-Benutzerkonto sperren würden.

Password-Spraying kann sowohl im internen Netzwerk zur Übernahme von weiteren AD-Benutzerkonten dienen als auch einem Angreifer den initialen Zugriff auf das Netzwerk ermöglichen. Dafür können Angreifer beispielsweise die standardmäßig exponierten AAD-Authentifizierungsschnittstellen nutzen, sofern das Unternehmen M365 oder Azure einsetzt. Ein kompromittiertes AD-Benutzerkonto bietet einem externen Angreifer oft mehrere Möglichkeiten für den Zugriff auf das interne Netzwerk oder auf weitere Applikationen. Besonders Remote-Zugänge, die an das AD angebunden sind und keinen zweiten Faktor erfordern (2FA bzw. MFA), sind gefährdet (z. B. VPN-Lösungen oder Outlook Web Access).

Aber auch mit aktivierter Zwei-Faktor-Authentifizierung für extern erreichbare Systeme können Angreifer die gestohlenen AD-Zugangsdaten gewinnbringend einsetzen. Eventuell haben Angreifer bereits über eine andere Schwachstelle Zugang zum internen Netzwerk und benötigen lediglich gültige Anmeldedaten. Mögliche Szenarien sind beispielsweise ein über das Internet kompromittierter Webserver oder das unsicher konfigurierte Gäste-WLAN, welches nicht vollständig vom internen Netzwerk isoliert wurde. Oft fehlt in diesen Fällen lediglich ein gültiger AD-Benutzer, um noch tiefer in das interne Netzwerk vorzudringen.

Doch welche Maßnahmen schützen nun vor Password-Spray-Angriffen? Hier ist tatsächlich die Passwortstärke ausschlaggebend. Es sind technische sowie organisatorische Maßnahmen notwendig, um schwache Passwörter im AD/AAD zu verhindern. Als technische Maßnahmen sind gehärtete Passwortrichtlinien geeignet. Die Passwortlänge ist hierbei die maßgebende Stellschraube, um komplexere Passwörter zu erzwingen (beispielsweise 12 Zeichen für reguläre AD-Benutzer). Für besonders schützenswerte AD-Benutzerkonten, bspw. die Domänen-Administrator-Gruppe, sollten noch striktere Regeln bezüglich der Passwortlänge gelten (16 Zeichen und mehr). Zudem sollte die in AD-Umgebungen oft erzwungene periodische Änderung von Passwörtern überdacht werden. Seit 2017 empfiehlt die NIST keine regelmäßigen Passwortwechsel mehr, und auch das Bundesamt für Sicherheit in der Informationstechnik hat sich in seinem IT-Grundschutz-Kompendium davon verabschiedet. Benutzer verfallen erfahrungsgemäß in ein Schema (beispielsweise „Winter2022!“ wird zu „Frühling2023!“), wenn die erzwungene Änderung in sehr kurzen Abständen erfolgt.

Doch um häufig verwendete Passwörter wie „Sommer2023!“ grundsätzlich zu verhindern, stößt man mit den AD-Passwortrichtlinien schnell an Grenzen. Daher müssen die Passwörter gegen eine Liste an bekannten schwachen Passwörtern und -schemata geprüft werden. Microsoft bietet mit „Azure AD Password Protection“ eine Lösung, um auch unternehmensspezifische schwache Passwörter zu erkennen und abzulehnen.

Eine Zwei-Faktor-Authentifizierung kann den Schaden begrenzen, sollten Angreifer dennoch in den Besitz gültiger Zugangsdaten gelangen. Insbesondere für extern exponierte Anwendungen, die an das AD angebunden sind, muss eine 2FA konfiguriert sein.

Ebenso wichtig ist jedoch auch der richtige Umgang mit Passwörtern. Die Mitarbeiter müssen wissen, wie sie starke Passwörter wählen, welche Vorteile Passwort-Manager bieten und welche Konsequenzen schwache Passwörter für das Unternehmen nach sich ziehen können. Besonders für administrative Benutzerkonten ist der richtige Umgang mit Anmeldedaten essenziell. Ein typischer Fehler ist beispielsweise die Verwendung desselben Passworts für alle lokalen Administratoren. Gelingt es einem Angreifer ein internes System zu kompromittieren, erlangt er dadurch administrativen Zugriff auf alle weiteren Systeme in der Domäne. Dass Mitarbeiter zum Administrieren ein separates AD-Benutzerkonto verwenden, ist in vielen AD-Umgebungen bereits umgesetzt. Der Mehrwert ist jedoch marginal, wenn Administratoren hierfür dasselbe Kennwort verwenden, das sie bereits für das reguläre AD-Benutzerkonto gesetzt haben. Eine mögliche technische Lösung sind Passwortrichtlinien für unterschiedliche Benutzergruppen (z. B. mit Hilfe von „Fine Grained Password Policies“). Ergänzend müssen die betroffenen Mitarbeiter aber auch für das Thema sensibilisiert werden, da die vorgestellten technischen Maßnahmen keinen Mehrwert bieten, wenn Mitarbeiter diese aushebeln oder nicht verstehen.

Um das Sicherheitsniveau noch weiter zu erhöhen, muss die Sicherheitsstrategie auch um proaktive Maßnahmen wie die Protokollierung und Überwachung der Systeme erweitert werden. Empfehlenswert ist beispielsweise eine Event-basierte Passwortänderung aufgrund von erkannten Angriffsversuchen (Password-Spray-Angriff) oder neuen Datenlecks.