IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

White HatDer Eindruck, den man in den letzten Wochen gewonnen hat, trügt nicht: Hacker sind in jüngster Zeit aktiver als je zuvor. Aktuelle Zahlen liefert jederzeit das Identity Theft Resource Center, das u.a. festgestellt hat, dass die Anzahl von Datenschutzverletzungen alleine in den USA von 780 im Jahr 2015 auf 1.093 im Jahr 2016 gestiegen sind. 

Es stellt sich fast zwangsläufig die Frage, ob es einen proaktiven Ansatz für eine größere Datensicherheit gibt, statt immer mehr in Firewalls oder AV-Lösungen zu investieren und die echten Schwachstellen in den eigenen Systemen aufzuspüren.

Die Antwort lautet „ja“, und zwar durch Penetrations-Tests (penetration testing oder auch kurz pen testing). Durch diesen White-Hat-Ansatz ist es möglich, Schwachstellen zu identifizieren, indem man nachvollzieht, wie ein Cyber-Krimineller an interne Informationen und Daten gelangen kann. Anders gesagt: Um Hacker zu bezwingen, muss man wie ein Hacker denken. Dazu werden die eigenen IT-Systeme mit den gleichen Tools und Techniken geprüft, die auch kriminelle Angreifer benutzen. In vielen Unternehmen herrschen hier jedoch Befürchtungen, diese Herangehensweise könnte ihre Systeme zusammenbrechen lassen. Dies ist jedoch nicht der Fall, denn Pen Testing ist eine clevere Methode der passiven Informationsgewinnung. In Windows-Umgebungen eignet sich hierfür Active Directory (AD) ideal. Der Verzeichnisdienst wird zwar im Allgemeinen nicht als Pen Testing-Werkzeug betrachtet, liefert aber dennoch enorm nützliche Informationen, die Hacker seit Jahren für ihre Zwecke nutzen.

Bis vor kurzem war es für Pen Tester einigermaßen schwierig, die Hacker-Techniken zu imitieren, um Nutzer- und Gruppen-Metadaten aus Active Directory zu gewinnen und zu analysieren. Aber dank PowerShell und PowerView, welches cmdlets für den Zugriff auf die Metadaten bietet, haben die Tester nun effektive Werkzeuge.

Um die Sicherheit seines AD-basierten Systems deutlich zu verbessern, sollte man auf ein paar Punkte besonderes Augenmerk legen. Hier sind drei Tipps, die ich für ausgesprochen effektiv halte:

1. Schauen Sie sich um

Um sich ein gründliches Bild von der IT-Landschaft zu machen, sollten die Tester auf ein paar Programme zurückgreifen, die Netzwerke, Server und Ordner untersuchen. Software wie Nessus oder CrackMapExec, das „Schweizer Taschenmesser des Pen Testings“, helfen Administratoren, das Netzwerk zu scannen, Login- und Passwort-Informationen zu testen und Befehle aus der Entfernung auszuführen. Ein nützliches Feature von CrackMapExec ist der PowerView Parameter, der es erlaubt, direkt PV-cmdlets auszuführen ohne die entsprechenden PowerView-Module herunterladen und eine entsprechende Umgebung aufbauen zu müssen. Detailliertere Informationen dazu finden Sie auch hier.

2. Denken Sie wie ein Hacker

Sobald der Tester ein Gespür für die IT-Landschaft entwickelt hat, ist es an der Zeit, wie ein Hacker zu denken: Welche Ordner enthalten wohl die wertvollsten Informationen und welche Anmeldedaten erlauben mir Zugriff auf die Daten des Ordners? Wenn beispielsweise ein Pen Tester eine Datei identifiziert, die zu einer AD-Gruppe namens „Geschäftsführung“ oder „Rechtsabteilung“ gehört, stehen die Chancen recht gut, dass diese Gruppen Zugriff auf Dateien und Informationen haben, die auch für einen Hacker äußerst interessant sind, etwa sensible Informationen über die Unternehmensfinanzen oder Verträge.

Allerdings verfügt der Pen Tester nicht über die entsprechenden Zugriffsrechte. Hier kommt nun Pass-the-Hash (PtH) ins Spiel. Die Idee ist, darauf zu warten, dass sich ein Mitglied einer dieser Gruppen (also in unserem Beispiel Geschäftsführung oder Rechtsabteilung) auf dem Server einloggt. PowerView verfügt über ein nettes cmdlet (Get-NetUser), welches die AD-Metadaten dieses Users anzeigt, inklusiver Gruppen-Zugehörigkeiten. Wenn man nun den richtigen Nutzer identifiziert hat, kann man heimlich den Speicher auslesen und die internen Windows-Authentifikationsschlüssel wiederverwenden und so den Authentifizierungsschlüssel und das Hashen umgehen. Fast überflüssig zu erwähnen, dass CrackMapExec auch über PtH-Fähigkeiten verfügt.

Die entscheidende Lektion aus dieser Übung ist: Die IT gut daran tut, sorgfältig zu prüfen, wer auf welche sensiblen Daten zugreift bzw. tatsächlich zugreifen muss und entsprechend die Gruppenzugehörigkeiten anzupassen. Durch den Schutz der Accounts besonders exponierter Nutzer (also Geschäftsführer, Vorstand etc.) und die strikte Reduzierung von Zugriffsrechten auf deren Dateien, macht es die IT Hackern schon deutlich schwieriger, an die Schätze heranzukommen.

3. Derivat-Administratoren

In großen Unternehmen ist es keine Seltenheit, lokale Administratorenrechte an spezielle Domain Level-AD-Gruppen zu delegieren. Auf diese Weise lässt sich besser kontrollieren, wer welche Rechte auf welchen Rechnern und Servern hat. Darüber hinaus entfällt das Problem, dass IT-Mitarbeiter mit ihren Domain-Privilegien an Rechnern von Nutzern arbeiten. Obwohl dies in der Praxis oft geschieht, ist dies eigentlich ein No-Go, da ihre Anmeldedaten mittels PtH gestohlen werden könnten und die Hacker so eine Art Generalschlüssel erhielten.

Andererseits sind zu viele lokale Admin-Gruppen auch nicht unproblematisch, aber auch hier kann Pen Testing zur Problemidentifizierung (und schließlich -entschärfung) beitragen. Die sogenannte „Derative Admin“-Schwachstelle wurde von Justin Warner, Andy Robbins und Will Schroeder aufgedeckt und ist ein wenig zu kompliziert, um sie im Rahmen dieses kurzen Artikels adäquat zu beschreiben. Nur so viel: Durch PowerView und anderen PowerShell-Code ist es möglich, seine eigentlich lokal begrenzten Rechte auf weitere vernetzte Geräte auszuweiten, von denen man normalerweise blockiert würde. Wenn Sie sich für die Details und Hintergründe interessieren, finden Sie hier ausführlichere Informationen.

Die Idee der Derivat-Administratoren ist eine gute und ungewöhnliche Idee, aber genau darum geht es ja auch beim Pen Testing: Nicht-offensichtliche Wege zur Simulation eines Angriffs zu finden, bevor es die echten Hacker tun.

Die Metadaten sind der Schlüssel

Unterm Strich läuft alles beim Pen Testing auf die Metadaten heraus. Die genannten Tipps und Ideen bringen die Tester durch passives Crawlen des Netzwerks auf die Spur, welche Metadaten es den Hackern ermöglichen, das Unternehmen zu infiltrieren (und dann den gewünschten Schaden anzurichten). Das Ziel der IT-Abteilung sollte entsprechend sein, die Active Directory-Nutzer und ihre Rechte so zu konfigurieren, dass das Risiko möglichst stark reduziert wird, dass Hacker in Besitz der entsprechenden Anmeldedaten (und Zugriffsrechte) gelangen. Je größer und komplexer Unternehmen werden, desto schwieriger ist es für die Administratoren, hier den Überblick zu behalten, wer zu welcher Gruppe gehört und wer Zugriff auf welche Daten wirklich benötigt. Mit den richtigen Tools und dem Wissen, welche Befehle sensible Dateien freilegen, werden Pen Testing und andere Risikobewertungen zu starken Schutzschildern gegen Hacker-Angriffe.

Thomas EhrlichThomas Ehrlich, Country Manager DACH bei Varonis

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet