Schwachstelle Identity

Semperis gibt Tipps zum besseren Umgang mit AD-Bedrohungen

, Frankfurt, Semperis | Autor: Herbert Wieler

Semperis gibt Tipps zum besseren Umgang mit AD-Bedrohungen

Identitätssysteme wie Active Directory sind ein populärer Angriffsvektor

Seit seiner Gründung im Jahr 2014 hat das Semperis-Team viele Unternehmen bei der Bekämpfung von Cyberangriffen unterstützt. Ein zunehmend häufiger Angriffsvektor sind Identitätssysteme wie Active Directory (AD).

Recht oft beobachtet Semperis dabei Folgendes: Cyberkriminelle haben sich durch einige relativ einfache Taktiken Zugang zu kritischen Systemen verschafft. Die Eindringlinge hatten bereits Tools zum Diebstahl von Zugangsdaten eingesetzt und erfolgreich einen der Domain-Admin-Accounts des Unternehmens gekapert. Das kompromittierte Konto wurde dann verwendet, um zunächst ein neues, verstecktes, dediziertes Konto für den Angreifer zu erstellen und dieses dann der Gruppe „Domain Admin“ der kompromittierten Domain hinzuzufügen. Dies erfolgte im Wesentlichen nach der einfachen Anleitung, wie man eine Active-Directory-Domain angreift und dabei hartnäckig bleibt.

AD-Sicherheitsgrundlagen nicht vernachlässigen

Der Grund, warum die Angreifer beim ersten Eindringen so erfolgreich waren, kann oft auf einige Sicherheitsgrundlagen zurückgeführt werden, die vernachlässigt wurden:

  • Konfigurieren eines Computers mit uneingeschränkter Delegation, einem beliebten Ziel für Angreifer.
  • Missbrauch des eingebauten Administratorkontos einer Domain, indem es als Dienstkonto für verschiedene SQL-Datenbanken verwendet wurde, was durch die vielen auf das Konto registrierten SPNs deutlich wurde.
  • Konfigurieren verschiedener riskanter Berechtigungen auf Domainebene.
  • Versäumnis, Passwörter auf administrativen Konten zu ändern (von denen es zu viele gab).

Die Umsetzung der AD-Sicherheitsgrundlagen – wie z. B. die Überprüfung von Berechtigungen, die vor Jahren festgelegt wurden – ist zeit- und ressourcenaufwändig. Dieser Aufwand ist jedoch ein Klacks im Vergleich zu dem Tribut, den ein groß angelegter Cyberangriff für den Geschäftsbetrieb eines Unternehmens fordern kann.

Angesichts dieser Befunde gibt Semperis drei Tipps für den besseren Umgang mit IT-Bedrohungen, die Active Directory ins Visier nehmen:

Den Unterschied zwischen der Wiederaufnahme des Betriebs und der Wiederherstellung des Betriebs verstehen

Für Cyberkriminelle ist Active Directory zunehmend ein Hauptangriffsvektor, da sie wissen, dass AD das Herzstück des Unternehmens ist. Die Mehrheit der Unternehmen nutzen AD immer noch als primären Identitätsspeicher, und als solcher ist es die Quelle, von der aus andere Identitätsspeicher synchronisiert werden. Selbst in einer hybriden Umgebung werden Cloud-Identitätsspeicher in der Regel mit dem lokalen AD synchronisiert. Wenn also AD ausfällt, steht das Unternehmen still. In der Hektik der Krise konzentrieren sich viele Unternehmen verständlicherweise darauf, den Geschäftsbetrieb so schnell wie möglich wiederaufzunehmen. Der Schwerpunkt der nächsten Phase sollte es sein, sicherzustellen, dass das Unternehmen nicht anfällig für wiederholte Angriffe ist, die dieselben Schwachstellen ausnutzen, die beim ersten Mal erfolgreich waren.

Eine vollständige Wiederherstellung bedeutet, dass AD vollständig wiederhergestellt wird, ohne dass erneut Malware in das System eingeschleust wird. Während eines Angriffs kostet aber die Suche nach einem sauberen Backup oder die Wiederherstellung von AD von Grund auf wertvolle Stunden und Tage, während das Unternehmen stillsteht. Im Fall des Kunden, dem Semperis zur Seite stand, konnte niemand mit Sicherheit ein aktuelles malwarefreies Backup identifizieren. Semperis half dem Unternehmen, DC-Backups zu konfigurieren, bei denen man sich darauf verlassen konnte, dass sie keine Malware enthielten, und korrigierte einige problematische Sicherheitslücken in einer der AD-Domains, wodurch die Widerstandsfähigkeit der Domain weiter verbessert wurde.

Als Nächstes half Semperis dem Unternehmen, eine Kopie seiner Produktions-AD-Forests in einer vollständig isolierten Sandbox-Umgebung mit frisch bereitgestellten Windows Server-VMs in Azure aufzusetzen, die mit Sicherheit frei von Malware waren. Mit diesem Ansatz konnte das Unternehmen nicht nur Backups der AD-Forests durchführen, sondern diese auch im Falle eines weiteren Angriffs vollständig wiederherstellen.

Eine solide AD-Sicherheitsstrategie muss einen vollständigen, malwarefreien AD-Wiederherstellungsplan beinhalten, dessen Ausführung Minuten oder höchstens ein paar Stunden dauert – und nicht Tage oder Wochen.

AD-Sicherheitsschwächen kontinuierlich bewerten

Viele Unternehmen verfügen über Sicherheitstools, die die Endpunktsicherheit bewerten, vernachlässigen aber den Schutz von Active Directory von innen. Um sich angemessen vor Cyberangriffen zu schützen, die auf AD abzielen, müssen Unternehmen wissen, wann Änderungen an privilegierten Gruppen und Konten, wie z. B. der Gruppe „Domain Admins“, auftreten. Bei ausreichender Vorwarnung können sie auf mutmaßliche Aktivitäten zum Diebstahl von Zugangsdaten reagieren. Dies könnten Benachrichtigungen über die Erstellung eines neuen Domainadministratorkontos unter Verwendung eines kompromittierten Kontos sein. Idealerweise möchten Unternehmen ein System haben, das sie nicht nur benachrichtigt, sondern auch Maßnahmen ergreift, um den Angreifer an der Ausbreitung in ihrem Netzwerk zu hindern.

Durch die kontinuierliche Bewertung und Behebung von AD-Sicherheitsschwachstellen bleibt das Unternehmen in einer proaktiven Position. Dadurch lassen sich Cyberangriffe verhindern oder der Schaden durch schnelles, sachkundiges Handeln mindern, falls es doch zu einem Angriff kommt. Unternehmen müssen sicherstellen, dass sie die Lücken evaluieren, die noch in ihrer Sicherheitsposition bestehen.

Verfügt das Unternehmen über einen Aktionsplan für den Umgang mit Cyberangriffen?

Angesichts der exponentiellen Zunahme von Cyberangriffen fühlen sich Sicherheitsverantwortliche vielleicht machtlos, ihr Unternehmen vor Cyberkatastrophen zu schützen. Jedes Unternehmen sollte sich ermutigt fühlen, proaktive Schritte zu etablieren, um bösartige Aktivitäten zu verhindern, abzuschwächen und sich vollständig davon zu erholen. Unternehmen sollten in die Sicherheitsgrundlagen von Active Directory investieren. Sie sollten sicherstellen, dass sie den Geschäftsbetrieb nach einem Angriff vollständig wiederherstellen – und nicht nur wiederaufnehmen – können. Hierzu gilt, es ihre Umgebung kontinuierlich auf Schwachstellen zu überprüfen. Dadurch werden sie ihre Sicherheitsposition gegenüber grassierenden Cyberangriffen erheblich stärken.