Was ist das Active Directory?
Das Active Directory stellt eine zentrale Rolle in jedem Netzwerk und jeder Infrastruktur dar. Das Active Directory ist der Ort, an dem alle Fäden zusammenlaufen, da alle Systeme, die im Netzwerk eingebunden sind, in der Regel gegen das Active Directory authentifizieren. Dies bedeutet im Umkehrschluss, dass alle anderen Ketten im Netzwerk zusammenfallen können, wenn das Active Directory nicht ausreichend gehärtet ist und angegriffen wird. Es wird zwischen drei Arten unterschieden:
- Das Active Directory ist im Gesamten in der lokalen Infrastruktur integriert (sehr gängig, Trend aber absteigend)
- Das Active Directory ist im Gesamten in eine Cloud ausgelagert (eher selten)
- Es ist eine Hybrid-Lösung vorzufinden: Ein solches Modell ermöglicht die Authentifizierung der Cloud-Dienste gegen das Active Directory. Somit können auch diese Dienste in die zentrale Authentifizierung integriert werden. (sehr gängig)
Active Directory: Der Wandel von zielgerichteten zu automatisierten Angriffen
Das Ziel von Angriffen auf das Active Directory ist das Erreichen einer Rechteeskalation, um von einem normalen User zu einem Adminaccount zu gelangen. Seit einigen Jahren ist das Active Directory ein zentraler Bestandteil bei Cyberangriffen geworden. Waren es früher vorwiegend zielgerichtete Angriffe von Experten bzw. hochkarätigen Hackern, wurde nun ein hoher Automatisierungsgrad durch bekannte Schadprogramme wie Emotet mit Trickbot oder NotPetya eingeleitet und damit die Anzahl der Angriffe gegen das Active Directory enorm gesteigert.
Bei der Ausnutzung von Schwachstellen durch Cyberkriminelle werden Angriffe gegen das Active Directory auch immer häufiger eingebunden. Betrachten wir den Angriff im letzten Jahr auf den NetScaler von Citrix, wurde festgestellt, dass die Hacker in dem Zuge häufig versucht haben, das Active Directory zu übernehmen. Sicherheitsexperten sprechen ohnehin nicht mehr von einzelnen Angriffen, sondern nur noch von Angriffsketten – und das Active Directory spielt hierbei eine bedeutende Rolle.
AD Audit: 3 Gründe warum Sie Ihr Active Directory überprüfen lassen sollten
- Wie bereits im ersten Abschnitt des Artikels erläutert wurde, ist das Active Directory die Grundlage für beinahe alles, was die Authentifizierung im Netzwerk betrifft und deswegen ein sehr interessantes Ziel für Cyberkriminelle.
- Weil das Active Directory so relevant ist, ist die Hemmung, das AD zu aktualisieren, bei den allermeisten Unternehmen sehr groß. Es schwingt immer eine gewisse Angst mit, bei einer Optimierung etwas an der Struktur des Active Directory zu zerstören. Deswegen ruhen sich viele Unternehmen darauf aus, dass Ihr AD einfach funktioniert. Die Folge davon ist, dass das Active Directoryschlichtweg veraltet. Und hierbei geht es nicht nur um Patches, die nicht installiert wurden oder um die Domänenstruktur selbst, sondern vor allem auch um die Konfiguration des Active Directorys selbst.
- Das COVID-19-Virus und die damit einhergehende Pandemie ist aktuell der größte IT-Treiber aller Zeiten. Das Active Directory war auch schon in der Vergangenheit ein interessantes Ziel und hatte oftmals Schwachstellen, die ausgenutzt werden konnten. Bis jetzt wurde das Active Directory aber tief in die Infrastruktur der Unternehmen integriert und sozusagen vor Angreifern „versteckt“. Aufgrund von Corona mussten sich viele Unternehmen aber umstrukturieren und die Mitarbeiter mit dem Firmenlaptop außerhalb der Unternehmensräume arbeiten. Das bedeutet im Umkehrschluss, dass die Mitarbeiter aus der Ferne authentifizieren müssen und die Geräte nicht mehr im physischen Zugriff sind. Und damit wurde ein wichtiges Verteidigungsinstrument – die physische Isolation – aufgelöst.
Microsoft Active Directory: Wie geht ein Angreifer vor und wie schütze ich mein AD?
Im ersten Schritt muss ein Angreifer einen Computer in seiner Kontrolle haben, um in die Nähe der Domäne zu kommen. Dies kann geschehen, indem er den PC physisch besitzt oder durch eine Schadsoftware Zugriff erlangt. Der Zugriff auf das Active Directory erfolgt üblicherweise über den Zugriff auf die Domäne mit einem normalen User-Account.
Das Ziel eines Angriffs auf das Active Directory ist die Rechteeskalation. Der Angreifer versucht von einem User-Account zu einem Domänenadministrator aufzusteigen und damit die Möglichkeit zu erlangen, die gesamte Domäne administrieren zu können. Dabei werden verschiedene Techniken eingesetzt, die unterschiedlich schwierig sind und unterschiedliche Aussichten auf Erfolg haben. Das komplexe bei der Verteidigung eines Angriffs auf das Active Directory ist, dass sehr viele Sicherheitsmechanismen in einem Punkt zusammenführen.
Nachfolgend wird anhand eines Beispiels beschrieben, wie ein Angreifer durch die Ausnutzung einer Schwachstelle höhere Rechte im Active Directory erlangen kann. Dieses ist aber nur eines von vielen Szenarien, die möglich sind. Bei einem Angriff durch die Ausnutzung einer Schwachstelle spielt die Netzwerksegmentierung eine wichtige Rolle: Kann der Angreifer, der Zugriff auf PC A bekommen hat, PC B mit höheren Rechten erfolgreich angreifen, weil die Netzwerke nicht ausreichend segmentiert sind?
Angriff auf das Active Directory: Ein Beispielsszenario
Ein Angreifer hat einen User-PC kompromittiert, an dem ein Benutzer angemeldet ist. Üblicherweise sind die Voreinstellungen von Microsoft so eingerichtet, dass die Hashwerte der User-Passworte auf den Maschinen gespeichert werden. Klickt ein Mitarbeiter auf eine Schadsoftware und bricht diese auf dem PC aus, wird der Angreifer mit hoher Wahrscheinlichkeit an die Hashwerte des Passworts gelangen. Wenn das Active Directory Rollenkonzept richtig eingerichtet wurde und der User keine essenziellen Berechtigungen besitzt, würde der Angreifer hier im ersten Schritt nicht weiterkommen. Der Angreifer könnte aber versuchen, aus dieser Situation heraus andere Clients zu kompromittieren, die eine höhere Berechtigung besitzen. Befinden sich im Unternehmen normale User im selben Netzwerk wie Domänenadministratoren und ein Angreifer schafft es, durch eine Schwachstelle von PC A zu PC B zu gelangen, kann er die Hashwerte des Passworts hacken und sich im Active Directory mit einer hohen Rolle anmelden.
Hieran kann unschwer erkannt werden, dass eine Netzwerksegmentierung bzw. eine Härtung der einzelnen Komponenten den Ausbruch im Sinne der Rechteeskalation eindämmen würde, weil der Angreifer innerhalb der Benutzerstruktur nicht von einem PC zu einem anderen mit höherer Berechtigung gelangen kann. Das Risiko ließe sich auch eindämmen, indem die Berechtigung, einen Domänencontroller zu administrieren, nicht von jedem PC aus möglich ist, auch wenn die Admin-Zugangsdaten vorhanden sind. Die Accounts der Domänenadministratoren sollten ohnehin nie für normale Bürotätigkeiten an alltäglichen Maschinen genutzt werden, da dadurch die Hashwerte an verschiedenen Orten auftauchen und für die Schadsoftware leichter zu finden sind.
Das Active Directory Berechtigungskonzept
Der Angriff auf sowie die Konfiguration und Härtung des Active Directory stehen in einer engen Beziehung mit dem im Unternehmen entwickelten Berechtigungskonzept. Wenn beispielsweise der Service-Account des Webservers in seiner Berechtigung maximal eingeschränkt wäre, wären die Folgen eines fremden Zugriffs nicht sehr weitreichend. Aus der Erfahrung zeigt sich aber, dass die meisten Unternehmen ihre Berechtigungen nicht minimal vergeben und beispielsweise unmanaged Service-Accounts mit hohen Rechten ausgestattet sind. Hinzu kommt, dass das Active Directory oftmals nicht ausreichend gehärtet ist, weswegen Hacker ganz einfach als Administrator an den Domänencontroller gelangen und Angriffe im Unternehmen häufig eskalieren.
Wie bereits erwähnt, ist das Ziel von Angriffen auf das Active Directory in den meisten Fällen, das Berechtigungskonzept zu unterwandern. Hacker versuchen normale User mit Hilfe von Social-Engineering-Kampagnen zu hacken und von dort aus zu einem Adminaccount zu gelangen. Wäre das Berechtigungskonzept falsch aufgezogen und alle User hätten – im schlimmsten Fall – Administratorenrechte, hätten die Angreifer ein leichtes Spiel. Deswegen ist das beste Szenario, das bei einer Härtung des Active Directorys entstehen kann, dass das Berechtigungskonzept ab diesem Zeitpunkt nicht mehr unterlaufen werden kann.
Und auf die allermeisten Angriffsszenarien gegen das Active Directory, die auf eine Rechteeskalation zielen, bietet Microsoft selbst eine Antwort sowie die Möglichkeit, diese Standardangriffe durch die richtige Konfiguration mit den Bordmitteln zu verhindern. Bei einem AD Audit können Sie überprüfen lassen, ob es einen sinnvollen Prozess in Ihrem Unternehmen gibt und das Active Directory gut konfiguriert wurde. Bei aufkommenden Defiziten werden Handlungsempfehlungen ausgesprochen, die auch unbedingt umgesetzt werden sollten, da beim Active Directory Berechtigungskonzept keine Kompromisse eingegangen werden sollten, weil sie verheerende Auswirkungen haben können.
Empfehlung für Ihr Active Directory
Zusammenfassend kann gesagt werden, dass das Active Directory ein interessantes Ziel darstellt, mit hoher Wahrscheinlichkeit aber nicht sehr gut beschützt ist und es viele Standardwege für eine Schadsoftware bzw. zielgerichtete Angreifer gibt, diese Lücken auszunutzen und eine Rechteeskalation herbeizuführen.
Dabei sollte aber beachtet werden, dass das reine Härten des Active Directorys natürlich richtig und wichtig ist, aber nur den ersten Schritt bildet, da es lediglich das Fundament für ein vernünftiges Berechtigungskonzept darstellt. Deswegen sollten Sie in Ihrem Unternehmen ausarbeiten, wie ein minimalistisches und vernünftiges Berechtigungskonzept aussieht, das Sie in Ihrer Organisation betreiben möchten. Je minimalistischer das Berechtigungskonzept, desto stärker ist es und desto geringer ist die Chance auf eine Rechteeskalation durch eine Schadsoftware wie Emotet oder NotPetya.
Lassen Sie sich auch von einem unabhängigen Experten helfen und in Ihrem Active Directory Berechtigungskonzept überprüfen, welche offenen Punkte zu finden sind und minimieren Sie damit das hohe und vielleicht auch neuartige Risiko aufgrund der aktuellen Home-Office-Situation.