Flexible Security for Your Peace of Mind

Die 10 beliebtesten Angriffe auf Active Directory

Weltweit setzen Unternehmen auf den Verzeichnisdienst Active Directory (AD), um Zugriffe und Zugriffsrechte auf die Ressourcen in ihren Netzwerken zu verwalten. Die weite Verbreitung und die zentrale Rolle in Netzwerkumgebungen machen AD aber auch zum attraktiven Ziel für Angreifer.

Wenn es darum geht, sich gegen mögliche Angriffe auf das Active Directory zu verteidigen, sollten Unternehmen die Methoden der Hacker kennen. Wir skizzieren die beliebtesten Angriffsmethoden und zeigen, welche Hürden man Hackern dabei in den Weg legen kann.

1. Pass-the-Hash-Angriffe

Bei Pass-the-Hash-Angriffen (PtH) verwenden Angreifer den Hashwert – also die mit einem Verschlüsselungsalgorithmus generierte Einweg-Ableitung des Passworts – um sich für den Zugang zu Rechnern, Services oder dem Unternehmensnetzwerk zu authentifizieren.

Um an den Hashwert zu gelangen, nutzen sie unterschiedliche Methoden. Beispielsweise können sie versuchen, ihn während einer Authentifizierung mitzulesen oder mit Tools wie mimikatz aus dem Cache oder Arbeitsspeicher eines Clients auszulesen. Auch die SAM-Datei (Security-Accounts-Manager-Datei) des AD ist ein erfolgversprechendes Angriffsziel, denn hier sind die Nutzernamen und Hashwerte der lokalen Nutzer gespeichert.

Maßnahmen gegen PtH-Angriffe

  • Sorgen Sie dafür, dass immer die aktuellsten Betriebssystemversionen und Authentifizierungsprotokolle installiert sind.
  • Räumen Sie Benutzern immer nur die Zugriffsrechte ein, die sie für die Ausübung ihrer tatsächlichen Tätigkeit benötigen (Least-Privilege-Prinzip).
  • Verwenden Sie für Remote-Desktops den eingeschränkten Administratormodus und loggen Sie sich nach Beendigung administrativer Tätigkeiten unverzüglich aus.
  • Nutzen Sie für Authentifizierungen über Netzwerkverbindungen nur abgesicherte und verschlüsselte Verbindungen.
  • Aktivieren Sie Microsoft Credential Guard, um gespeicherte Anmeldeinformationen zu schützen und nur vertrauenswürdigen Prozessen den Zugriff zu ermöglichen.
  • Speichern Sie Hashes privilegierter Konten nicht an einem Ort, an dem sie leicht extrahiert werden können. Schützen Sie Kennworte/Hashwerte lokaler Administrator-Konten mit Windows LAPS (Local Administrator Password Solutions).
  • Verwenden Sie ggf. die Multifaktor-Authentifizierung (MFA), denn so benötigen Angreifer neben einem erbeuteten Hashwert noch einen zweiten Authentifizierungsfaktor.

2. Pass-the-Ticket-Angriffe

Pass-the-Ticket-Angriffe zielen auf den AD-Authentifizierungsmechanismus Kerberos, der zur Authentifizierung keine Hashwerte nutzt, sondern Tickets. Angreifer gehen dabei ähnlich vor, wie bei PtH-Angriffen: Sie erbeuten ein Kerberos-Ticket während einer Authentifizierung oder mit Hilfe von Tools wie mimikatz.

Maßnahmen gegen Pass-the-Ticket-Angriffe

Gegen Pass-the-Ticket-Angriffe empfehlen sich die gleichen Gegenmaßnahmen wie gegen PtH-Angriffe.

3. Golden- und Silver-Ticket-Angriffe

Eine Golden-Ticket-Attacke ist eine ernsthafte Bedrohung, denn mit einem Golden Ticket haben Angreifer uneingeschränkten Zugriff auf alle Bereiche der Domäne. Der Angriff erfolgt über das Schlüsselverteilungsdienstkonto (KRBTGT), das zum Verschlüsseln und Signieren der Kerberos-Tickets einer Domäne dient. Ziel ist es, an den Passwort-Hash des KRBTGT-Nutzers zu gelangen. Mit diesem Hash kann dann ein Golden Ticket für beliebige Benutzer erstellt werden, mit allen Berechtigungen (auch des Domänenadministrators) und für jeden Dienst. Auch hierbei leisten Tools wie mimikatz oder Impacket „wertvolle Dienste“.

Anders als bei herkömmlichen Angriffen, die gestohlene Anmeldeinformationen nutzen, ist ein Golden Ticket so lange gültig, bis das Passwort der Domäne geändert wird. Die Bezeichnung „Golden“ kommt also nicht von ungefähr.

Silver-Ticket-Attacken zielen dagegen lediglich auf spezifische Dienste innerhalb des Netzwerks. Dabei wird ein gefälschtes Ticket für einen beliebigen (auch einen nicht existierenden) Nutzer erstellt, das lediglich den Zugriff auf einen bestimmten Dienst ermöglicht. Vorteil für die Angreifer: Da es für Silver-Ticket-Angriffe nicht nötig ist, mit einem Domain Controller zu kommunizieren, sind sie unauffälliger als Golden-Ticket-Attacken.

Gegenmaßnahmen

  • Setzen Sie bei Ihren Passwortrichtlinien auf starke Passwörter. Tools wie Specops Password Policy helfen, schwache, leicht zu erratende Kennwörter dauerhaft zu blockieren.
  • Ändern Sie das KRBTGT-Passwort regelmäßig und bei jedem Wechsel des AD-Administrators.
  • Vergeben Sie Zugriffsrechte nach dem Least-Privilege-Prinzip.

Achten Sie auf Anomalien bei der Erstellung von Ticket Granting Tickets (TGTs), etwa eine ungewöhnlich große Anzahl von TGT-Anfragen durch einen einzelnen Benutzer. Auch ungewöhnliche Änderungen an privilegierten Konten oder Änderungen an Sicherheitsrichtlinien können Indikatoren für einen Golden-Ticket-Angriff auf Active Directory sein.

Schlummern kompromittierte Kennwörter in Ihrer Organisation?

4. DSRM-Account-Missbrauch

DSRM (Directory Service Recovery Mode) ist ein Wartungsmodus, mit dem Administratoren auf Active Directory Domain Services zugreifen können, um Systemprobleme oder Fehler zu beheben. Um den DSRM-Zugang zu schützen, wird bei einer AD-Erstinstallation ein DSRM-Passwort erstellt. Gelangen Angreifer in den Besitz dieses Passworts, haben sie damit Zugriff auf die Active Directory-Datenbank und alle dort gespeicherten Informationen. Mit Tools wie mimikatz können zudem die Kennwort-Hashes des lokalen Administrators und des AD-Administrators ausgelesen werden.

Das Risiko eines DSRM-Account-Missbrauchs wird oft unterschätzt. Nicht selten bleibt das bei der Erstinstallation vergebene Kennwort lange unverändert – selbst wenn Administratoren, die es kennen, das Unternehmen verlassen. Für Angreifer ist der DSRM-Account daher ein vielversprechendes Einfallstor.

Maßnahmen gegen DSRM-Account-Missbrauch

  • Vergeben Sie starke DSRM-Passwörter.
  • Sichern Sie jeden Domain Controller mit einem eigenen Passwort ab.
  • Ändern Sie die DSRM-Passwörter regelmäßig (per „ntdsutil“-Befehl oder per PowerShell-Skript) – spätestens, wenn ein Administrator das Unternehmen verlässt.

5. Kerberoasting

Wer Kerberos-Tickets erbeutet, kann diese nicht nur zur Authentifizierung nutzen (s. o. Pass-the Ticket-Angriffe). Beim sogenannten Kerberoasting versuchen Angreifer, aus Kerberos-Tickets Passwort-Hashes zu extrahieren und diese dann zu entschlüsseln. Ähnlich wie DSRM-Angriffe zielen Angreifer auf Konten mit schwachen Passwörtern. Im Visier sind dabei solche Konten, die mit einem SPN (Service Principal Name) verbunden sind – einer Funktion, die zur Identifizierung von angeforderten Diensten genutzt wird.

Angreifer suchen zunächst nach interessanten Konten mit SPNs, stehlen oder fälschen ein gültiges Ticket Granting Ticket (TGT) und fordern damit ein Service-Ticket für beliebige SPNs (also Dienste) vom Kerberos Ticket Granting Service an. Dazu müssen sie sich im Unternehmensnetz befinden, also etwa ein schlecht geschütztes Standard-Konto übernommen haben. Service-Tickets enthalten den Kennwort-Hash des Kontos, das mit dem SPN verknüpft ist. Mit einem Brute-Force-Angriff versuchen sie dann, den Hash zu knacken, um so an das Kennwort des Dienstekontos zu gelangen, das oft weitreichende Rechte hat – und sind umso erfolgreicher, je schwächer das Kennwort ist. Weil das offline geschieht, sind Kerberoasting-Angriffe schwer zu erkennen.

Maßnahmen gegen Kerberoasting

  • Überwachen Sie kontinuierlich die Kerberos-Authentifizierung und prüfen sie auf außergewöhnliche oder verdächtige Aktivitäten.
  • Dringen Sie in Ihren Passwortrichtlinien auf die Verwendung starker Passwörter – auch für Dienstkonten!
  • Achten Sie darauf, dass nicht die gleichen Passwörter für unterschiedliche Konten verwendet werden. Kostenlose Tools wie der Specops Password Auditor helfen dabei, indem sie Benutzerkonten auf mehrfach genutzte Passwörter scannen.

Mehr Informationen: Kerberoasting-Angriffe: So schützen Sie Ihr Active Directory

6. LDAP-Injection

LDAP (Lightweight Directory Access Protocol) ist ein Netzwerkprotokoll, das für den Zugriff auf verteilte Verzeichnisinformationen zu Benutzern, Gruppen oder Netzwerkressourcen verwendet wird. Für eine LDAP-Injection müssen Angreifer sich bereits Zugriff auf die AD-Umgebung verschafft haben. Sie nutzen dann LDAP-Abfragen, um Details zu Benutzern, Gruppen, Organisationseinheiten und Netzwerkressourcen zu erfahren und weitere Angriffsschritte vorzubereiten.

Maßnahmen gegen LDAP-Injection

  • Überwachen Sie den LDAP-Datenverkehr kontinuierlich auf ungewöhnliche Aktivitäten.
  • Stellen Sie sicher, dass Benutzer nur die Zugriffe haben, die sie für ihre eigentlichen Aufgaben benötigen (Least-Privilege-Prinzip).

7. SID-History Injection

Jedem Benutzerkonto ist ein Security IDentifier (SID) zugeordnet – ein Wert, mit dem Zugriffe des Kontos auf Netzwerkressourcen nachverfolgt werden können. Der SID-Verlauf (SID-History) ermöglicht es, den Zugang eines Kontos auf ein anderes Konto zu klonen, insbesondere wenn Benutzerkonten auf eine andere Domäne migriert werden. Bei einer SID-History Injection nutzen Angreifer ein Standardkonto, um SID-Werte mit höheren Rechten (z. B. Administrator-Rechten) in die SID-History einzuschleusen, und so ihre Berechtigungen auszuweiten.

Maßnahmen gegen SID-History Injection

  • Überwachen Sie Benutzerkonten mit privilegierten SID-Werten, insbesondere nach der Migration zwischen Domänen.
  • Bereinigen die SID-History, sobald die Migration eines Kontos abgeschlossen ist.

8. ACL-Missbrauch

Jedem Objekt (z. B. einem Benutzer, Computer oder einer Gruppe) ist in AD eine ACL (Access Control List) zugeordnet, die definiert, wer auf das Objekt zugreifen kann und welche Berechtigungen er dabei hat. Beim ACL-Missbrauch nutzen Angreifer falsch konfigurierte oder übermäßig freizügige ACLs, um unbefugte Zugriffe zu erhalten oder böswillige Aktionen innerhalb eines Systems auszuführen. Dabei verwenden sie Tools wie BloodHound, das AD-Berechtigungen grafisch abbildet, um falsch konfigurierte ACLs und mögliche Pfade für eine Rechteausweitung aufzuspüren.

Maßnahmen gegen ACL-Missbrauch

  • Vergeben Sie Nutzerrechte grundsätzlich nach dem Least-Privilege-Prinzip.
  • Überprüfen Sie Zugriffsberechtigungen regelmäßig.
  • Überwachen Sie Änderungen an AD-Objekten, insbesondere bei Mitgliedern privilegierter Gruppen.

9. Phishing

Phishing ist eine Social-Engineering-Technik, bei der Angreifer versuchen, Benutzer zur Herausgabe von Passwörtern zu verleiten. Dazu verwenden sie beispielsweise gefälschte E-Mails, Webseiten oder Kurznachrichten, die aus scheinbar seriösen Quellen stammen.

Dank der weit verbreiteten offenherzigen Preisgabe persönlicher Informationen in sozialen Netzwerken werden zudem immer gezieltere Angriffe möglich. Angreifer nutzen solche persönlichen Informationen, um eine Vertrauensbasis herzustellen und die Kontonutzer so zur Herausgabe von Kontozugangsinformationen zu bewegen (Spear Fishing). Das ist zwar kein direkter Angriff auf AD-Mechanismen, kann aber mithilfe von AD-Funktionen erschwert werden; deshalb führen wir Phishing hier mit auf.

Maßnahmen gegen Phishing

  • Sensibilisieren Sie Ihre Nutzer und schulen sie regelmäßig, damit sie potenzielle Social-Engineering-Angriffe erkennen können und lernen, damit umzugehen.
  • Auch hier: Vergeben Sie Zugriffsrechte nach dem Least-Privilege-Prinzip.
  • Schützen Sie privilegierte Konten per Multi-Faktor-Authentifizierung.

10. Password Spraying

Bei Password-Spraying-Angriffen auf Active Directory verwenden Angreifer vorzugsweise im Darknet verfügbare Datendumps aus Passwort-Hashes oder Klartext-Passwörtern, um mit den kompromittierten Kennwörtern mehrere Benutzerkonten gleichzeitig anzugreifen. Dabei vertrauen sie darauf, dass mindestens ein Mitarbeiter ein gängiges oder kompromittiertes Passwort nutzt. Ihre Erfolgsaussichten sind dabei recht hoch, denn gängige Passwörter wie 12345679 erfreuen sich immer noch großer Beliebtheit. Zudem nutzen viele Menschen immer noch dasselbe Passwort für verschiedene Dienste.

Maßnahmen gegen Password Spraying

  • Sorgen Sie mit Passwortrichtlinien für starke Passwörter bzw. Passphrasen in Active Directory.
  • Verhindern Sie die Verwendung kompromittierter Passwörter. Hierbei helfen spezialisierte Tools wie Specops Password Policy mit Breached Password Protection.
  • Unterbinden Sie möglichst die Mehrfachverwendung von Passwörtern für unterschiedliche Nutzer-, Dienst-, und Internetkonten.
  • Schützen Sie privilegierte Konten per Multi-Faktor-Authentifizierung.

Wie können unsere Lösungen Ihnen dabei helfen Ihr Active Directory gegen Angriffe zu schützen? Unsere Experten beraten Sie gerne!

Erfahren Sie mehr, wie Sie mit EASM das Risiko in Ihrer Angriffsfläche identifizieren und überwachen können.

Autorin

Christina Czeschik Dr. Christina Czeschik ist Ärztin und Medizininformatikerin und schreibt seit etwa 10 Jahren als freie Autorin über Datenschutz, Informationssicherheit und Digitalisierung im Gesundheitswesen, unter anderem für die B2B-Content-Marketing-Agentur ucm.

(Zuletzt aktualisiert am 05/06/2024)

Zurück zum Blog