Bei der Sicherheit von Microsoft Active Directory geht es um eine ganze Reihe von Risiken, die von Managementfehlern bis hin zu ungepatchten Schwachstellen reichen. Wir schreiben oft über die Tatsache, dass Cyberangreifer das AD ins Visier nehmen, um ihre Privilegien zu erhöhen und sich im Unternehmen festzusetzen. Wenn Sie eine typische Datenschutzverletzung untersuchen, werden Sie feststellen, dass wahrscheinlich gestohlene Anmeldedaten verwendet wurden - manchmal für den ersten Zugang, manchmal für den Zugriff auf kritische Systeme, aber immer zum Nachteil des betroffenen Unternehmens.
Die Absicherung von AD beginnt damit, dass Sie die Schwachstellen und häufigen Konfigurations- und Verwaltungsfehler, die den Weg zu Kompromittierungen ebnen, in den Griff bekommen. Um AD zu verteidigen, müssen Administratoren wissen, wie Angreifer ihre Umgebung ins Visier nehmen. Wie viele können jedoch ein Quiz über die Arten von Sicherheitslücken bestehen, durch die Angreifer auf ihrem Weg zum Eindringen in das System schleichen?
Verwandte Lektüre
Authentifizierung fehlgeschlagen
Es scheint ironisch, aber einige der häufigsten und schädlichsten Konfigurationsfehler, die Active Directory betreffen, stehen im Zusammenhang mit dem Authentifizierungsprozess. Stellen Sie sich ein Szenario vor, in dem ein Unternehmen eine Anwendung eines Drittanbieters oder eine selbst entwickelte Anwendung zulassen möchte, die nicht mit AD integriert ist, aber AD nach aktiven Benutzern abfragen möchte. Der einfachste Weg besteht darin, den anonymen Zugriff auf Active Directory zu ermöglichen. Diese Maßnahme mag zwar aus Produktivitätsgründen für vielbeschäftigte Administratoren sinnvoll sein, aber sie ermöglicht auch nicht authentifizierten Benutzern die Abfrage von AD. Wenn diese Fähigkeit ohne abschwächende Kontrollen aktiviert wird, steigt das Risikoprofil dieser Organisation erheblich.
Die im Jahr 2020 gemeldete Zerologon-Schwachstelle wurde von Angreifern schnell ausgenutzt, da sie es ihnen ermöglichte, das Kennwort für ein Dienstkonto auf einem Domänencontroller zu ändern oder zu entfernen. Die Folgen eines erfolgreichen Angriffs könnten katastrophal sein. Schwache Passwörter, nicht ablaufende Passwörter, keine Passwörter - all dies sind Warnzeichen dafür, dass die AD-Umgebung eines Unternehmens nicht sicher ist.
Sichere Kennwortrichtlinien sollten in der gesamten Active Directory-Infrastruktur an der Tagesordnung sein. Jedes Konto, für das das Kennzeichen PASSWD_NOTREQD gesetzt ist, sollte automatisch einer zusätzlichen Prüfung unterzogen werden und einen triftigen Grund für seine Konfiguration haben. Darüber hinaus sollten Passwörter - insbesondere für Dienstkonten - in regelmäßigen Abständen geändert werden. Wenn Sie Passwörter über einen längeren Zeitraum unverändert lassen, erhöht sich die Wahrscheinlichkeit eines erfolgreichen Brute-Force-Angriffs, da Angreifer mehr Zeit haben, sie auszuspähen.
Authentifizierungsprobleme, auf die Sie achten sollten, sind:
- Computer und Group Managed Service Accounts (gMSA) Objekte mit Passwörtern, die vor mehr als 90 Tagen festgelegt wurden
- Umkehrbare Passwörter in Gruppenrichtlinienobjekten (GPOs)
- Anonymer Zugriff auf Active Directory aktiviert
- Zerologon-Schwachstelle (CVE-2020-1472), wenn der Patch nicht angewendet wird.
Erteilung übermäßiger Genehmigungen
Da die meisten AD-Umgebungen bereits seit vielen Jahren in Produktion sind, sind ihre Angriffsflächen gewachsen. Miele der angehäuften Schwachstellen eines Forests lassen sich auf das Muster dass jemand etwas erledigen muss, in der Regel in Eile, und die wenigsten-Weg zur Erledigung ist zu zu zeitaufwendig ist, nicht leicht verfügbar, oder einfach nicht bekannt. Infolgedessen, wird der Benutzer oder die Gruppe oder die Berechtigung überprivilegiert, nur um sicherzustellen, dass die Anfrage erfüllt und das Ticket geschlossen wird. Und natürlich wird diese Berechtigung nie wieder aufgehoben, so dass die Angriffsfläche immer größer wird.
In der Realität ist es nicht ungewöhnlich, dass AD-Umgebungen eine unnötig hohe Anzahl von Domänenadministratoren haben - eine Tatsache, die noch beunruhigender sein kann, wenn diese Konten verwaist sind und nur darauf warten, für einen Angriff genutzt zu werden. Dienstkonten mit übermäßigen Berechtigungen stellen ebenfalls ein hohes Risiko dar, da ihre Kennwörter in der Regel nicht ablaufen und viele von ihnen schwache Kennwörter haben (was sie zu einem guten Kerberoasting-Ziel macht). Mit der Anzahl der Benutzer mit administrativen Rechten wächst auch die Angriffsfläche, die es zu schützen gilt. Die Zugehörigkeit zu diesen Gruppen sollte streng kontrolliert werden.
Natürlich passieren Fehler. Wenn eine AD-Umgebung größer und komplexer wird, kann es beispielsweise passieren, dass jemand die vererbten Berechtigungen nicht richtig berücksichtigt und einem Konto versehentlich zu viele Privilegien gewährt. Aber selbst eine ordnungsgemäße Verwaltung der Berechtigungsvergabe reicht nicht aus, wenn Angreifer in die Offensive gehen.
Betrachten wir als Beispiel die Auswirkungen eines AdminSDHolder-Angriffs. Zur Auffrischung: Der Container AdminSDHolder speichert den Sicherheitsdeskriptor, der auf privilegierte Gruppen angewendet wird. Standardmäßig vergleicht der Prozess Security Description Propagation (SDPROP) alle 60 Minuten die Berechtigungen für geschützte Objekte und hebt alle Diskrepanzen entsprechend der Definition in AdminSDHolder auf.
Bei einem AdminSDHolder-Angriff nutzen Bedrohungsakteure SDPROP aus, um die Persistenz aufrechtzuerhalten, indem sie die Berechtigungen eines Objekts durch die nicht autorisierten Änderungen des Angreifers ersetzen. Wenn die Änderungen an den Berechtigungen erkannt und rückgängig gemacht werden, die nicht autorisierten Änderungen an AdminSDHolder jedoch unentdeckt bleiben, werden die Änderungen des Angreifers wiederhergestellt.
Die beste Verteidigung gegen den Missbrauch von Privilegien ist die Überprüfung von Berechtigungen und die Überwachung verdächtiger Aktivitäten.
Zu den Genehmigungsfragen, auf die Sie achten sollten, gehören:
- Privilegierte Objekte mit unprivilegierten Eigentümern
- Berechtigungsänderungen für das Objekt AdminSDHolder
- Unprivilegierte Benutzer mit DC-Sync-Rechten in der Domäne
- Änderungen des Standard-Sicherheitsbeschreibungsschemas in den letzten 90 Tagen
Spickzettel für Sicherheit
Mit Informationen über Indikatoren der Gefährdung (IOEs) können Unternehmen die Sicherheit ihrer AD verbessern. Ein Tool, das dabei helfen kann, ist Purple Knightein kostenloses AD-Sicherheits-Audit-Tool, das Semperis im März veröffentlicht hat. Purple Knight fragt Ihre Active Directory-Umgebung im "Nur-Lesen"-Modus ab und führt eine umfassende Reihe von Tests gegen die häufigsten und effektivsten Angriffsvektoren durch, um riskante Konfigurationen und Sicherheitsschwächen aufzudecken.
Das Scannen von Active Directory bietet einen Einblick in die Sicherheitslage und verringert das Risiko, dass nicht autorisierte Änderungen oder Fehlkonfigurationen unentdeckt bleiben. AD-Administratoren müssen nicht nur ihr Handwerk verstehen, sondern auch die Taktiken ihrer Gegner kennen. Indem sie kritische Warnzeichen im Auge behalten, können sie AD gegen gängige Angriffe abhärten.
