Schwachstelle Active Directory

Active Directory ist die Achillesferse des CISO

, München | Autor: Jürgen Haekel

Active Directory ist die Achillesferse des CISO

Von Jürgen Haekel

Microsofts Active Directory (AD), das Ende der 1990er Jahre eingeführt wurde, hat sich zum Industriestandard für Verzeichnisdienste entwickelt. Es wird heute in neun von zehn Unternehmen der Global Fortune 1000 verwendet. Es jedoch ein sehr beliebtes Einfallstor für Cyberattacken, das sich nur schwer absichern lässt.

Jürgen Haekel, freier Fachjournalist, München

Nach Angaben von Microsoft werden weltweit täglich nahezu 100 Millionen AD-Konten attackiert. Aufgrund der volatilen und verteilten Natur von AD, bei dem in der Regel zahlreiche Teams für verschiedene Bereiche verantwortlich sind, ist es nicht einfach, AD gegen solche Angriffe zu sichern. Dies ist aber unbedingt notwendig, denn das Active Directory ist nicht nur die Achillesferse des CISO, sondern auch das Rückgrat der gesamten Benutzer- und Rechteverwaltung im Unternehmen.

Lange wurde AD wie die Strom- oder Wasserversorgung behandelt – es war einfach da, und solange es funktionierte, war alles gut – never change a Running System. Diese Praxis birgt jedoch ein erhebliches Risiko, da Änderungen bei den Administratoren, der Trend zur Heimarbeit sowie Fusionen und Übernahmen zusätzliche Sicherheitsrisiken schaffen können, wenn die Änderungen nicht adäquat im Active Directory abgebildet werden.

In Anbetracht der Tatsache, dass AD zunehmend im Visier von Cyberkriminellen steht, sind regelmäßige Patches sowie die kontinuierliche Überprüfung von Richtlinien und Sicherheitsrisiken absolute Pflichtaufgaben. Zudem muss AD sowohl On-site als auch in der Cloud regelmäßig gesichert werden. Für Sicherheitsteams ist es wichtig, sich der AD-Schwachstellen bewusst zu sein, die es anfällig für Angriffe machen. Jedes Unternehmen, das eine Zero-Trust-Architektur aufbaut, benötigt komplette Transparenz, um das Prinzip der geringsten Privilegien durchzusetzen und einen Überblick über die Risiken zu gewinnen, die mit Gruppenrichtlinien und überlappenden Vertrauensstellungen verbunden sind.

So etwas wie ein komplett sicheres AD gibt es nicht, da sich die Angriffsfläche ständig ändert. Meist gibt es nicht genügend Mitarbeiter und Expertise, um die Risiken im Detail zu analysieren und zu verstehen. Es werden daher Lösungen benötigt, die automatisiert und kontinuierlich für die nötige Visibility und für die Echtzeit-Erkennung von Angriffen auf Active Directory sorgt.

Active Directory Security ist komplex

Der Schutz vor AD-Angriffen kann zwar schwierig sein, ist aber nicht unmöglich – man braucht nur die richtigen Werkzeuge und Methoden. Man kann AD schützen, indem man Schwachstellen und Einstellungen, die es anfällig für Angriffe machen können, patcht und bewertet. Beispielsweise können Unternehmen "Kerberoasting" (ein Angriff, der es Angreifern leicht macht, sich privilegierten Zugang zu verschaffen) vermeiden, indem sie die richtigen Regeln implementieren und eine sorgfältige Konfiguration vornehmen. Dabei ist es generell eine gute Praxis, die erteilten Zugriffsrechte und die Zahl der Administratoren ständig zu überprüfen und zu begrenzen. CISOs müssen daher das Dickicht der von ihnen gewährten Berechtigungen und die damit verbundenen Möglichkeiten der Anwender verstehen.

Bei der AD-Sicherheit reicht es nicht aus, nachzufragen, wer zu welcher Sicherheitsgruppe gehört. Jedes Objekt in AD hat eine Access Control List, zu der Administratoren Benutzerkonten hinzufügen können. Vor diesem Hintergrund ist es von entscheidender Bedeutung, keine Sicherheitsmängel wie sich überschneidende Berechtigungen und andere Einstellungen zu übersehen, die das Unternehmen einem Angriff aussetzen könnten.

Antizipieren von Cyber-Attacken

Doch alle vorbeugenden Maßnahmen können vergeblich sein, wenn das Unternehmen nicht in der Lage ist, einen Angriff auf Active Directory zu erkennen. Solche Aktivitäten lassen sich jedoch nur schwer anhand von Logdateien oder regelmäßigen Inspektionen erkennen.

Angreifer verwenden häufig Open-Source-Tools wie Bloodhound, das ursprünglich für Pen-Tester entwickelt wurde, um Schwachstellen in AD zu finden und Administratorrechte zu erhalten. Bei diesen Ansätzen sind zahlreiche Modifikationen und Änderungen an den AD-Einstellungen ein Hinweis für Unternehmen, ihr AD unverzüglich zu überprüfen. Ein Brute-Force- oder Passwort-Spray-Angriff äußert sich in der Regel durch mehrfaches Zurücksetzen von Passwörtern oder Sperren von Benutzern auf dem Domänencontroller. Wenn Unternehmen solche Angriffe auf AD frühzeitig erkennen, können sie den potenziellen Schaden erheblich verringern. Wer auf einen Alert wartet, weil etwa ein Angreifer eine Sicherheitskonfiguration ändert, kommt im Ernstfall zu spät. Die Angreifer sind dann schon weiter und können viel mehr tun, einschließlich der Installation von Hintertüren. Allerdings ist es komplex und zeitaufwändig, mit den üblichen Tools nach einem solchen Verhalten zu suchen.

Nachdem sie den Perimeter durchbrochen und im Netzwerk Fuß gefasst haben, führen die Angreifer eine Suchaktion durch, auch Reconnaissance genannt, um potenziell wertvolle Ressourcen zu entdecken und herauszufinden, wie sie an diese gelangen können. AD ist eine der einfachsten Möglichkeiten, dies zu tun, da sie es als routinemäßige Unternehmensaktivität mit geringem Entdeckungsrisiko tarnen können.

Daher ist es sinnvoll, zu versuchen, den Zugriff von Angreifern auf AD von vornherein zu verhindern. Neuere Entwicklungen zum Schutz von Active Directory bieten eine Verschleierungstechnologie, die AD-Objekte verbirgt und gleichzeitig illegitime Abfragen erkennt, mit denen valide Daten für einen Angriff erbeutet werden sollen. So hat beispielsweise Attivo Networks mit dem ADAssessor eine innovative Methode zur Erkennung und Behebung von Sicherheitslücken in Active Directory auf den Markt gebracht, die von Hackern ausgenutzt werden könnten, um privilegierte Zugänge zu kritischen Ressourcen zu erlangen.

Der ADAssessor ermöglicht Echtzeit-Erkennung von AD-Privilegien-Eskalation sowie von Domain-Kompromittierung und vereinfacht granulare Zugriffsbeschränkungen auf AD-Informationen. Zudem bietet er einen kontinuierlichen Einblick in die Risiken von Identitäten und privilegierten Konten in Bezug auf Anmeldeinformationen, Service-Accounts, delegierte Konten, veraltete Accounts und gemeinsam genutzte Anmeldeinformationen. Darüber hinaus verbessert er die Sichtbarkeit von AD-Sicherheitsproblemen und bietet verwertbare Warnmeldungen zu wichtigen Schwachstellen auf Domänen-, Computer- und Benutzerebene. Sicherheitsteams können von dieser Funktionalität profitieren, ohne selbst privilegierten Zugriff auf Active Directory zu benötigen

Neben solchen Tools können Sicherheitsteams auch Desinformation einsetzen, um Gegner in die Irre zu führen. Ziel ist es dabei, dass der Angreifer sich mit Lockvögeln einlässt und sich auf einen Ort konzentriert, an dem das Security Team Daten zur Stärkung seiner Verteidigung sammeln kann. Das Erkennen und Verhindern der Enumeration von Rechten, Administratoren und Service-Konten zu einem frühen Zeitpunkt im Angriffszyklus kann die Verteidiger auf die Anwesenheit eines Angreifers aufmerksam machen. Die Bereitstellung von trügerischen Domänenkonten und Anmeldeinformationen auf Endpunkten kann ihn dann in die Irre führen und als Köder dienen.

Fazit

Die Absicherung von AD über das Prinzip der geringsten Privilegien und eine abgestufte Verwaltung reicht nicht mehr aus – diese Methode ist nicht skalierbar. Unternehmen können jedoch Vorkehrungen treffen, um ihre Einstellungen zu schützen. Dazu können Sie neue Technologien nutzen, um Schwachstellen aufzudecken und kontinuierliche AD-Pen-Tests in einer hochkomplexen Cybersicherheitslandschaft durchzuführen. Zudem sollten sie auch über Audit-Protokolle hinaus nach Schwachstellen suchen und ihre Sicherheitsverfahren mit Mechanismen zur Erkennung von Live-Angriffen aktualisieren.