Zwangsweise kommt jeder Mitarbeiter in der Informatik irgendwann mit dem Active Directory Dienst von Microsoft in Berührung. Seit 1999 verwaltet dieser Dienst Identitäten und Zugriffe in Windows-Netzwerken und legt Sicherheitsrichtlinien fest. Um mit der Zeit zu gehen, führte Microsoft vor einigen Jahren die Cloud-basierte Version seines Verzeichnisdienstes, Azure Active Directory (seit Juli 2023 „Microsoft Entra ID“) ein, um Unternehmen eine Identity-as-a-Service (IDaaS)-Lösung sowohl für die Cloud als auch On-Premise-Anwendungen zu bieten.
Inzwischen stellt Azure AD einen elementaren Bestandteil für die Funktionalität von On-Premise-, Cloud-basierten und hybriden Ökosystemen dar. Dabei nutzen über 90% der Unternehmen den Dienst für die Mitarbeiterauthentifizierung, die Zugriffskontrolle und die ID-Verwaltung.
Trotz der hohen Bedeutung sind in der Praxis die Sicherheitsvorkehrungen im Active Directory oft unzureichend, ja teilweise mangelhaft. Um die Gründe dafür nachvollziehen zu können, ist es wichtig ein grundlegendes Verständnis über die Arbeitsweise des Dienstes zu haben.
Funktionsweise
Im Kern geht es bei Active Directory darum, Gruppen einzurichten, denen Rollen und Berechtigungen zugewiesen werden. Den Benutzern werden ein Benutzername und ein Kennwort zugewiesen, die dann mit ihrem Active Directory-Kontoobjekt verknüpft werden. Mithilfe des Lightweight Directory Access Protocol (LDAP) werden die Passwörter und die zugehörige Benutzergruppe auf ihre Richtigkeit überprüft. Im Allgemeinen werden die Benutzer der Gruppe Domänenbenutzer zugeordnet und erhalten Zugriff auf die Objekte, für die die Domänenbenutzer eine Zugriffsberechtigung haben. Daneben gibt es noch die Benutzergruppe „Admins“, die der Gruppe Domain Admins zugeordnet sind. Diese Gruppe ist hoch privilegiert und somit berechtigt, alle Aktionen im Netzwerk durchzuführen.
Diese Benutzergruppe stellt ein enormes Sicherheitsrisiko dar, da bei Fehlkonfiguration, fehlenden Patches, oder mangelnder Zugriffsverwaltung Angreifer diese Accounts übernehmen können.
Eine Untersuchung von XM Cyber aus dem Jahr 2022 ergibt, dass 73 % der Angriffstechniken, die bei der Kompromittierung kritischer Entitäten eingesetzt werden, auf Basis von falsch verwalteten oder gestohlenen Anmeldeinformationen basieren – und mehr als die Hälfte aller Angriffe in Unternehmen beinhalten mindestens ein Element der Kompromittierung von Active Directory.
Active Directory-Angriffspfade
Aus der Sicht eines Angreifers bietet Active Directory eine großartige Gelegenheit für laterale Bewegungen („Lateral Movement“), da der anfängliche Zugriff es ihm ermöglicht, sich von einem niedrig privilegierten Benutzer zu einem wertvolleren Ziel zu bewegen – oder sogar die vollständige Kontrolle zu übernehmen – wenn er Fehlkonfigurationen oder übermäßige Berechtigungen ausnutzt. Um zu verstehen, wie dies in der Praxis geschieht, sehen wir uns 3 tatsächliche Angriffspfade aus der Praxis an
1. In diesem Fall hatten alle Benutzer innerhalb der Domäne das Recht, Passwörter zurückzusetzen. Sollte auch ein Angreifer einen Active Directory-Benutzer durch Phishing oder andere Social-Engineering-Techniken übernehmen, könnte er alle Kennwörter für andere Benutzer zurücksetzen und jedes Konto in der Domäne übernehmen.
2. Hier wurde ein Angriffspfad aufgedeckt, bei dem die Gruppe der authentifizierten Benutzer die Berechtigung hatte, den gPCFileSysPath der GPO-Richtlinie in einen Pfad mit bösartigen Richtlinien zu ändern. Eines der betroffenen Objekte war der AD-Benutzer-Container mit einem untergeordneten Objekt, das wiederum ein Benutzer war, der zur Gruppe Domain Admin gehörte. Jeder Benutzer in der Domäne konnte demnach Domänen-Admin-Berechtigungen erhalten. Dabei genügte ein nicht privilegierter Benutzer, der auf eine Phishing-E-Mail hereinfiel, um die gesamte Domäne zu gefährden. Die Folge wäre eine vollständige Kompromittierung der Domäne.
3. Durch das Ausführen eines Schadcodes über eine Phishing-Mail auf einem ungepatchten Computer nutzt ein Angreifer die lokalen und Domänen-Anmeldedaten des kompromittierten Active Directory-Benutzers durch Credential Dumping aus. Dadurch hatte der Angreifer, die Berechtigung, sich selbst einer Gruppe hinzuzufügen, sodass er den kompromittierten Benutzer zu einer Active Directory-Helpdesk-Gruppe hinzufügen konnte. Diese Gruppe wiederum verfügte über die Berechtigung, Kennwörter zurückzusetzen. Das öffnete dem Angreifer alle Türen.
Schlussfolgerung
Bei den hier genannten Szenarien handelt es sich nur um einen kleinen Auszug. Wichtig dabei ist, dass Unternehmen grundsätzlich verstehen, wie Angreifer vorgehen und Schwachstellen in Active Directory und AD Azure-Umgebungen nutzen und welches Risiko von kompromittierten AD-Benutzern ausgeht. Mit diesem Verständnis können Unternehmen Prioritäten setzen, was wirklich geschützt werden muss, und Umgebungen härten, um zu verhindern, dass Active Directory-Schwachstellen von Angreifern ausgenutzt werden.
Florian Jörgens
