Anzeige

Active Directory

Die Sicherung des Active Directory (AD) sollte ein zentrales Element in jeder Sicherheitsstrategie sein, da die Gefährdung eines einzelnen Kontos verheerende Wirkung haben und zu großen Datenverlusten führen kann.

Und auch wenn Angriffe über AD nicht neu sind, so lässt sich seit Monaten ein deutlicher Anstieg dieses Angriffsvektors feststellen. Dies liegt vor allem daran, dass Microsoft als Betriebssystem sehr weit verbreitet ist und AD eine zentrale Position innerhalb der Informationssysteme innehat. Um sich hiergegen erfolgreich verteidigen zu können, muss man zunächst um die Gefahren und Risiken wissen.

Jedes Unternehmen einer gewissen Größe verfügt über unzählige Schlüssel für das Gebäude, die einzelnen Büros, aber auch für die Garage oder gar Tresore. Also um das zu schützen, was schützenswert ist, und Unbefugte draußen zu halten. Um den nötigen, berechtigten Zugang für die Mitarbeiter sicherzustellen, etwa für den Fall, dass der Schlüsselinhaber krank oder im Urlaub ist, werden Ersatzschlüssel an einem zentralen Ort aufbewahrt. Meist handelt es sich dabei um einen speziellen Schlüsselschrank, zu dem nur ein paar besonders vertrauenswürdige Mitarbeiter den Schlüssel haben. Für Einbrecher sind natürlich genau diese ein ausgesprochen interessantes Ziel, bieten sie doch ungehinderten Zugang in alle Bereiche des Unternehmens. Wenn sie also an diesen Schlüsselschrank-Schlüssel gelangen, stehen ihnen buchstäblich alle Türen offen. 

In der digitalen Welt sind das Äquivalent dieses Schlüssels die Anmeldeinformationen des Active Directory-Administrators des Unternehmens (man spricht in diesem Zusammenhang nicht ohne Grund vom „goldenen Ticket“). Damit erhalten Angreifer die Möglichkeit, auf alles und jedes im Netzwerk eines Unternehmens zuzugreifen: auf Dateien, Logins, Systemeinstellungen und so weiter. Wie in der realen Welt ist ein solcher Zugriff zwar (noch) selten, aber potenziell katastrophal für ein Unternehmen. Doch auch wenn die Angreifer „nur“ auf einer niedrigeren Ebene Zugriff auf das Active Directory erhalten, können sie sich durch das System arbeiten und ihre Privilegien so lange ausweiten, bis sie schließlich auf eine Goldader treffen. Das Active Directory ist für jeden Schritt in der Cyber-Kill-Kette von der Aufklärung über den Denial-of-Service bis hin zur Datenexfiltration von entscheidender Bedeutung.  

 

Die eigenen Schwächen kennen

Active Directory verwendet Kerberos als primären Authentifizierungsmechanismus. Hierbei verwendet Kerberos Tickets (Ticket Granting Tickets / TGTs), um Benutzer zu authentifizieren. Obwohl Kerberos durch starke Kryptographie und Ticket-Autorisierung durch Dritte einen unglaublich leistungsstarken Schutz bietet, gibt es immer noch eine Reihe von Schwachstellen, die Angreifer ausnutzen können, um auf Active Directory zuzugreifen.  Neben dem bereits erwähnten Angriff mit dem „goldenen Ticket“ gibt es noch weitere wirkungsvolle Angriffsmethoden auf das Active Directory wie Pass the Hash, Pass the Ticket oder das „silberne Ticket“. Viele der Schwachstellen von Active Directory sind auf die fast archaische NTLM-Verschlüsselung zurückzuführen, die nach heutigen Standards sehr schwach ist. Beispielsweise nutzen Cyberkriminelle bei Pass the Hash-Angriffen Brute Force-Techniken, um das Passwort eines NTLM-Hashes zu ermitteln und sich damit bei Active Directory zu authentifizieren.

Neben diesen technischen Schwachstellen nutzen Angreifer – wie auch bei anderen Attacken – Social Engineering oder Phishing, um an die wertvollen Anmeldedaten zu gelangen. Und auch wenn die Adressaten als technisch versierte Mitarbeiter sich dieser Gefahren bewusst sind, also durchaus über eine besondere Awareness verfügen, so sind Angreifer auch hier immer wieder erfolgreich. So zeigte Dr. Zinaida Benenson in einer Studie der Friedrich-Alexander-Universität (FAU) Erlangen, dass „mit sorgfältiger Planung und Ausführung jeder dazu gebracht werden kann, solch einen Link anzuklicken, und sei es nur aus Neugier.“

 

Proaktive Sicherheit

Was kann man also tun, um zu verhindern, dass Cyberkriminelle auf das Active Directory zugreifen und damit die „Schlüssel zum Königreich“ stehlen? Zunächst sollte man sich ein genaues Bild über die Verwendung des Active Directory im Unternehmen machen: Wie sehen die Namenskonventionen aus? Über welche Sicherheitsrichtlinien verfügen wir? Wer sind die Benutzer? Und so weiter. Wissen ist auch hier Macht, und mit diesem Wissen haben Sicherheitsverantwortliche die Macht, Active Directory besser zu schützen.

Eine einmalige Überprüfung reicht dabei jedoch nicht aus. Die entscheidenden Informationen müssen durch regelmäßiges Monitoring auf dem neuesten Stand gehalten werden, damit ungewöhnliche Anmeldungen oder Änderungen (insbesondere auch Privilegien-Eskalationen) erkannt und darauf reagiert werden kann. Eine manuelle Überwachung, die alle wesentlichen Punkte nahezu in Echtzeit umfasst, ist allerdings nahezu unmöglich. Mittels Automatisierung kann jedoch verdächtiges Verhalten schnell identifiziert und ein entsprechender Alarm ausgelöst werden. 

Darüber hinaus sollten Sicherheitsverantwortliche in Betracht ziehen, die Domänencontroller auf einem Server zu betreiben, der nicht direkt mit dem Internet verbunden ist. Dies macht es Angreifern deutlich schwerer, sich lateral fortzubewegen und Privilegien zu eskalieren. Das Thema Privilegien ist grundsätzlich ein Schlüsselelement: Unternehmen sollten hier einen Least-Privilege-Ansatz verfolgen. Auf diese Weise erhalten Mitarbeiter nur Zugang zu den Dateien, Ordnern und Diensten, die sie auch tatsächlich für ihre Arbeit benötigen. Auch dies schränkt die Möglichkeiten für Angreifer deutlich ein, da jedes (kompromittierte) Konto in seinen Zugriffsmöglichkeiten eingeschränkt ist.

 

Mehrschichtiger Sicherheitsansatz

Keine Sicherheitslösung ist unüberwindbar und jede Kette ist so schwach wie ihr schwächstes Glied. Diese Binsenweisheiten gelten selbstverständlich auch für Angriffe auf das Active Directory. Angreifer zielen auch hier auf die Mitarbeiter als vermeintliche Schwachstelle. Entsprechend müssen diese immer wieder geschult und sensibilisiert werden, auch wenn sie (zumindest theoretisch) um die Risiken wissen. Hierbei sollte auch auf die Erstellung sicherer (und vor allem einmaliger) Passwörter sowie die Merkmale eines Phishing-Angriffs eingegangen werden.

Als weitere Verteidigungsebene sollten Systemadministratoren über ein Konto für die tägliche Nutzung und ein Konto speziell für die Durchführung von Systemänderungen verfügen. Solche Administratorkonten sollten auf zugewiesene, genau definierte und begrenzte Systeme beschränkt werden. Dadurch wird verhindert, dass ein kompromittiertes Konto den Angreifern Zugriff auf das gesamte Netzwerk ermöglicht.

Zudem sollten auch technische Lösungen zum Einsatz kommen, die in der Lage sind, verdächtige Änderungen im Active Directory zu erkennen und in Zusammenhang mit anderen Aktivitäten zu setzen, um damit potenzielle Angriffe zu identifizieren und zu stoppen. Active Directory-Angriffe sind oftmals schwer aufzuspüren und bleiben lange unentdeckt. Durch den intelligenten Einsatz von maschinellem Lernen und die Herstellung des richtigen Kontextes kann man ihnen jedoch auf die Spur kommen. Es bedarf eines ganzheitlichen, mehrschichtigen Ansatzes, der von den Mitarbeitern bis zu fortschrittlichen Technologien reicht, um sicherstellen, dass Cyberkriminelle bei ihren Bemühungen, auf das Active Directory zuzugreifen, nicht auf Gold stoßen.

 

Michael Scheffler, Country Manager DACH von Varonis Systems www.varonis.com/de/


Artikel zu diesem Thema

Microsoft
Aug 06, 2020

Microsofts Milliarden-Dollar Geschäfte

Der Tech-Riese Microsoft erwägt eine Übernahme der Geschäfte des sozialen Netzwerks…
Phishing
Aug 06, 2020

Mögliche Gefahr durch KI-generiertes Spear Fishing

Obwohl sich Vectra AZ darauf konzentriert, KI zur Cyberabwehr einzusetzen, beobachtet das…
Datensicherheit
Aug 06, 2020

Datensicherheit und Vertrauensinfrastruktur mit Remote-IT

Unternehmen jeder Größe, vom kleinsten Privatunternehmen bis zum größten öffentlichen…

Weitere Artikel

Geschenkkarten

Achtung: Drei Betrugsmethoden mit Geschenkkarten

Vor der Haupteinkaufszeit zu Weihnachten warnt Malwarebytes vor den Gefahren, die mit Geschenkkarten verbunden sind. Verbraucher müssen vor allem auf drei Betrugsmethoden mit Geschenkkarten achten, um Cyberkriminellen nicht in die Falle zu gehen.
Phishing

Spear-Phishing-Kampagnen mit gefälschten Kundenbeschwerden

Eine Spear-Phishing-Kampagne versendet gefälschte „Kundenbeschwerden“, die einen Link zu einer bösartigen Website enthalten, wie Paul Ducklin von Sophos eigenem IT-Security Blog Naked Security beschreibt.
Weihnachten Hacker

Fröhliche Weihnachten: X-Mas Days are Phishing Days

Weihnachten steht vor der Tür und wie jedes Jahr suchen Millionen Menschen im Internet nach den besten Geschenkangeboten für das große Fest. ThycoticCentrify gibt Tipps, wie sie sich gegen die neuesten Betrugsversuche im Netz wappnen können.
Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.
Black Friday

Black Friday: Kaum Schutz vor E-Mail-Betrug durch Fälschung der Domain

Proofpoint hat im Rahmen einer aktuellen Untersuchung festgestellt, dass lediglich einer der 20 größten Online-Händler in Deutschland über einen vollständigen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügt.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.