Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Kerberoasting-Angriffe: So schützen Sie Ihr Active Directory
Ein Domänenadministratorkonto ist der heilige Gral der privilegierten Konten in einer Microsoft Active Directory-Umgebung. Wenn ein Angreifer ein Domänenadministratorkonto in die Hände bekommt, kann er schalten und walten wie es ihm beliebt. Kerberoasting ist eine Technik, die Angreifer verwenden könnten, um die Privilegien eines kompromittierten Benutzerkontos innerhalb von Active Directory zu erweitern.
Im Folgenden wird erläutert, was Kerberoasting ist, warum Active Directory anfällig ist und wie es verhindert werden kann.
Was ist Kerberos?
Um Kerberoasting zu verstehen, müssen wir zunächst Kerberos selbst verstehen. Kerberos ist das Authentifizierungsprotokoll, das in Microsofts Active Directory verwendet wird. Es wird verwendet, um die Identität eines Benutzers oder Computers zu überprüfen, der den Zugriff auf Ressourcen beantragt. Clients erhalten über das Kerberos Key Distribution Center (KDC) von Active Directory ein spezielles Token, das so genannte Ticket.
Das Ticket Granting Ticket (TGT) von Active Directory ist der Mechanismus, der die Berechtigung zur Anforderung eines Ticket Granting Service (TGS)-Tickets erteilt. Das TGS-Ticket wird dann für den Zugriff auf Ressourcen in der Domäne, wie z. B. Dateiserver, verwendet.
Was ist Kerberoasting?
Kerberoasting ist ein Angriff zur Rechteerweiterung (Privilege Escalation), der das Kerberos-Authentifizierungsprotokoll in Microsoft Active Directory und den oben beschriebenen Mechanismus zur Ticketvergabe ausnutzt. Ein Angreifer kann ein kompromittiertes Standard-Windows-Benutzerkonto verwenden, um Zugriff auf den Passwort-Hash eines privilegierten Benutzers zu erhalten.
Das Ziel des Kerberoasting ist es, einen Kennwort-Hash für ein Active Directory-Konto zu erhalten, das einen Service Principle Name (SPN) hat. Ein SPN bindet einen Kerberos-Dienst an ein Benutzerkonto in Active Directory. Der Angreifer fordert ein Kerberos-Ticket für einen SPN an, und das abgerufene Ticket wird mit dem Hash des Passworts des Zielkontos verschlüsselt, das mit dem SPN verbunden ist. Der Angreifer arbeitet dann offline, um zu versuchen, den Passwort-Hash zu knacken und schließlich das Konto und den damit verbundenen Zugriff zu übernehmen.
Diese Angriffe können schwer zu erkennen sein, da sie nicht auf Malware beruhen, was bedeutet, dass sie von Antivirus- oder anderen herkömmlichen Lösungen nicht erkannt werden. Kerberoasting ist für jede Cybersicherheitslösung, die nicht das Verhalten der zugelassenen Benutzer analysiert, schwer zu erkennen.
Was ist ein Active Directory-Dienstkonto (Service Account)?
Die meisten Unternehmen verwenden ein Dienstkonto, um Windows-Dienste auf Servern in einer Active Directory-Domänenumgebung auszuführen. Normalerweise werden diese Konten nicht von normalen Benutzern verwendet. Stattdessen erstellen die Administratoren ein Active Directory-Benutzerkonto, legen das Kennwort so fest, dass es nicht abläuft, und legen das Kennwort für den Benutzer fest.
Wie Sie unten sehen können, wird das Dienstkonto, das dem Windows-Dienst zugewiesen ist, in der Dienste-Konsole angezeigt.
Wenn Sie auf einen Dienst doppelklicken, werden die Details des zugehörigen Dienstkontos angezeigt.
Dienstkonten können gefährlich sein, da sie in der Regel über hohe Berechtigungen auf einem Server oder sogar über Domänenadministratorzugriff verfügen. Sie werden oft schlecht überwacht und können mit schwachen und leicht kompromittierbaren Kennwörtern konfiguriert sein, die mit den oben genannten Tools schnell geknackt werden können. Wenn die Passwörter nicht ablaufen hat so auch der Angreifer unbegrenzt viel Zeit, um das Passwort zu knacken.
Wie funktioniert Kerberoasting?
Um einen Kerberoasting-Angriff durchzuführen, muss sich der Angreifer im Unternehmensnetzwerk befinden, in dem sich Active Directory befindet, um “Sichtkontakt” zu haben und mit einem Domänencontroller kommunizieren zu können. Zunächst kann ein Angreifer schwache Zugangsdaten ausnutzen, um Zugang zu einem Standard-Benutzerkonto zu erhalten, und dann die Kerberoasting-Technik verwenden, um das legitime Active Directory Kerberos-Service-Ticket zu kompromittieren.
Damit dieser Angriff funktionieren kann, muss der Angreifer bereits Zugriff auf ein Standard-Windows-Benutzerkonto haben. Angreifer können jedes Domänenkonto für einen Kerberoasting-Angriff verwenden, da jedes Konto Tickets vom TGS anfordern kann.
Wie verschaffen sich Angreifer Zugang zu einem gültigen Standard-Windows-Konto in der Umgebung? Sie können mehrere Methoden verwenden, um ein gültiges Benutzerkonto aufzudecken. Dazu gehören:
- Phishing-Angriffe
- Malware
- Initial Access Brokers im Darkweb
- Social Engineering
Sobald ein Angreifer in das Netzwerk eingedrungen ist, kann er ein Kerberos-Service-Ticket vom Ticket-Granting-Service (TGS) in Active Directory anfordern. Es gibt viele kostenlose und quelloffene Tools, die diesen Prozess vereinfachen. Beispiele hierfür sind Rubeus von GhostPack oder GetUserSPNs.py von SecureAuth Corporation. Viele dieser Tools sind als Teil von Kali Linux verfügbar, einer speziellen Debian-Distribution, die für Penetrationstests im Bereich der Cybersicherheit gedacht ist.
Die Ausführung dieser Skripte gegen Active Directory sucht nach allen Benutzerkonten, die mit SPNs in der Domäne verknüpft sind UND fordert ihr gültiges Ticket vom Domänencontroller an. Das vom Domänencontroller zurückgegebene Ticket wird mit einem NTLM-Hash verschlüsselt.
Der Angreifer erfasst dann den zurückgegebenen Wert des Kerberos-Tickets und speichert ihn offline, um mit einem Passwort-Tool wie Hashcat oder John the Ripper unter Verwendung einer Rainbow-Table oder Bruteforce das Passwort für das mit dem Kerberos-Ticket verbundene Benutzerkonto zu erraten.
Umgehung von Antivirenprogrammen und Überwachung des Netzwerkverkehrs
Einer der Gründe, warum Kerberoasting bei Angreifern so beliebt ist, ist die Möglichkeit, den Angriff offline auszuführen. Dies liegt daran, dass keine Malware verwendet wird, die von Antivirenprogrammen blockiert werden könnte, und da das Entschlüsseln des Hashes offline erfolgt, sind kein ungewöhnlicher Netzwerkverkehr oder Kontoanmeldungen erforderlich. Nach den anfänglichen Aktivitäten zur Beschaffung des Kerberos-Ticket-Hashes kann der Angreifer also völlig offline arbeiten, bis er den Passwort-Hash für das Dienstkonto erraten hat.
Wie können sich Unternehmen vor Kerberoasting-Angriffen schützen?
Der Schutz vor Kerberoasting kann sich als schwierig erweisen, da für den Angriff legitime Kerberos-Funktionen und der Ticket-Granting-Service genutzt werden. Es gibt jedoch einige bewährte Verfahren, die Unternehmen befolgen können, um die Sicherheit ihrer Kontopasswörter und Dienstkonten zu erhöhen. Beachten Sie die folgenden Punkte:
- Befolgen Sie das Prinzip der niedrigsten Privilegien und gewähren Sie Administratorrechte nur spärlich.
Dienstkonten werden beispielsweise häufig mit administrativen Rechten ausgestattet. Oft werden jedoch Administratorrechte vergeben, wenn sie nicht benötigt werden, um etwaige Schwierigkeiten oder Stolpersteine zu umgehen. - Überprüfen Sie regelmäßig die Passwörter aller Domänenkonten, einschließlich der Dienstkonten.
Überprüfen Sie unbedingt die Kennwörter der Active Directory-Domänenkonten, einschließlich der Dienstkonten. Wenn den in der Domäne konfigurierten Dienstkonten schwache Passwörter zugewiesen sind, müssen die Administratoren diese einsehen können. - Verwenden Sie Tools von Drittanbietern.
Für eine effektive Prüfung von Active Directory-Kennwörtern sind Tools von Drittanbietern erforderlich. Es ist nicht einfacher als die manuelle Überprüfung von Active Directory-Passwörtern mit selbst entwickelten Skripten und anderen Tools, die dann wieder von Administratoren gepflegt werden müssen.
Wie kann Specops Password Auditor helfen?
Specops Password Auditor ist ein kostenloses Tool, um proaktiv schwache, mehrfach genutzte und kompromittierte Passwörter in Ihrer Active Directory-Umgebung zu suchen und aufzuzeigen. Dafür werden die Hashes Ihrer Active Directory-Passwörter lokal mit einer Liste von ca. 950 Millionen kompromittierter Passwörtern verglichen, die wir aus verschiedenen Quellen zusammengetragen haben.
Darüber hinaus bietet Specops Password Auditor wertvolle Einblicke, wie z. B. eine vollständige Übersicht über die Administratorkonten in der Domäne einer Organisation, einschließlich veralteter/inaktiver Admin- und Benutzerkonten. Diese Funktionen helfen den Administratoren, die Dienstkonten in der Domäne auf Passwortsicherheit zu überprüfen und geben ihnen Einblick in Dienstkonten mit Administratorrechten. Specops Password Auditor gibt Ihnen einen vollständigen Überblick über veraltete Konten in Ihrem Unternehmen, die oft ein Ausgangspunkt für Kerberoasting-Angriffe sind. Sie können auch alle delegierbaren Administratorkonten anzeigen und sie als “sensibel und nicht delegierbar” in Ihrer Umgebung markieren.
Außerdem können Sie die Kennworteinstellungen in Ihrer Organisation mit den branchenüblichen Compliance-Vorschriften wie BSI, CJIS, PCI, HITRUST, NCSC, CNIL, ANSSI, und NIST und vielen anderen vergleichen. Überzeugen Sie sich selbst.
(Zuletzt aktualisiert am 20/07/2023)