Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Privilege Escalation oder Rechteausweitung im Active Directory – Techniken, Gefahren und Vorkehrungen
In vielen Organisationen bleibt es den Mitarbeitern selbst überlassen, Passwörter für ihre Benutzerkonten zu wählen – denn sie müssen sich diese ja letztlich merken können. Das damit verbundene Risiko versucht man mit möglichst restriktiven Rechten zu senken. Okay?
So mancher Server in Unternehmensnetzen ist nicht speziell gesichert. Aber halb so schlimm – wird er von Kriminellen gekapert, kontrollieren die nur ein Dienstekonto mit minimalen Privilegien. Wirklich okay?
Sie können es sich denken: Die Antwort lautet nein. Das Least-Privilege-Prinzip (PoLP), also die Regel, Benutzern oder Diensten nur die für sie unbedingt nötigen Rechte zu gewähren, ist zwar ein sehr wichtiges Security-Konzept. Aber es darf nicht zur Rechtfertigung dafür dienen, Konten oder Teilbereiche des Active Directory Forests unzureichend abzusichern. Denn haben Cyberkriminelle erst mal ein Konto in ihrer Gewalt, gelingt es ihnen nicht selten, die damit verbundenen Rechte zu erweitern oder sogar zu erhöhen – Stichwort Privilege Escalation oder Rechteausweitung. Was das genau ist, wie Privilege Escalation funktioniert und was Sie dagegen tun können, erklärt dieser Beitrag.
Was ist Privilege Escalation (Rechteausweitung)?
Privilege Escalation (Rechteausweitung, auch Rechteerhöhung, Privilegienerweiterung, Privilegien-Eskalation) bedeutet, dass sich ein Benutzer oder eine Anwendung mehr Rechte (Privilegien) zum Zugriff auf Ressourcen verschafft, als ihm/ihr ursprünglich gewährt wurden.
Dabei werden gemeinhin die vertikale und die horizontale Privilege Escalation unterschieden. Bei der vertikalen Rechteausweitung (Rechteerhöhung, Privilege Elevation) verschafft sich der Angreifer höhere Privilegien, also weiter reichende Rechte; in der Regel durch Übernahme eines anderen Kontotyps (z. B. System- oder Domänen-Administrator). Bei der horizontalen Rechteausweitung erlangt der Angreifer neue Rechte der gleichen Stufe, zum Beispiel durch Übernahme eines anderen Benutzerkontos mit ähnlichen Berechtigungen, aber Zugriff auf andere Daten.
Eine Privilege Escalation kann schwerwiegende Folgen für die Sicherheit eines Systems oder eines Netzwerks haben. Denn mit höheren Privilegien können Angreifer auch mehr Schaden anrichten, z. B. sensible Daten abgreifen oder verschlüsseln, Systemkonfigurationen ändern, Malware installieren, bösartige Befehle ausführen, weitere Systeme im Netzwerk kompromittieren oder wichtige Dienste lahmlegen.
Wie läuft eine Privilege Escalation ab?
Zunächst muss ein Angreifer natürlich erst einmal die Kontrolle über ein Konto übernehmen. Das gelingt sehr häufig – zum Beispiel, weil ein Mitarbeiter sich von einer gut gemachten Phishing-Mail täuschen lässt, einen bösartigen Mail-Anhang ausführt oder das Benutzerkonto mittels Passwort Spraying oder Credential Stuffing-Angriffen kompromittiert wurde. Es muss sich beim Ausgangspunkt einer Privilege Escalation auch nicht unbedingt um ein Benutzerkonto handeln – ein Dienstekonto auf einem alten Webserver reicht oftmals schon. Nicht selten haben auch noch immer Passwort-Rate-Angriffe (Brute-Force- oder Dictionary-Attacken) auf Login-Seiten Erfolg, wenn die Zahl möglicher Anmeldeversuche nicht begrenzt wird.
Ist der Hacker drin, wird er sich erst einmal in Ruhe umsehen: Um was für ein System handelt es sich, welche Rechte besitze ich bereits, welche Daten sind mir zugänglich und welche Informationen über die Umgebung und andere Systeme im Netz kann ich erlangen – insbesondere natürlich über ihre Schwachstellen? Finde ich womöglich private Schlüssel, Session-IDs oder auch persönliche Informationen, die man fürs Social Engineering nutzen kann? Je nachdem, was er findet, kann er die nächsten Schritte planen, um das lokale System und weitere Systeme im Netzwerk zu übernehmen (Lateral Movement), sich darin festzusetzen (inkl. Einbau von Hintertüren) und seine eigentlichen Ziele zu verfolgen.
Hacker-Traumziel Active Directory
Hat der Angreifer Glück, findet er sich bereits in einer Active-Directory-Domäne wieder. Denn in den meisten Unternehmen verwaltet Microsofts Verzeichnisdienst Identitäten und Privilegien zentral; es ist einfach, Informationen über andere Konten der Domäne zu finden. Häufig dient AD auch als Identity Provider für Single-Sign-On-Lösungen oder externe Konten. ADs und ihre Verwaltung sind zudem meist sehr komplex, sodass es immer wieder zu Konfigurationsfehlern kommt. Und nicht zuletzt sind AD-Profis nicht immer auch gleichzeitig Security-Profis. So ist es nicht überraschend, dass AD zu den populärsten Angriffszielen bei professionellen Hackern gehört – nicht selten können sie ausgehend von einem ersten Domänenkonto in weniger als einer Stunde die gesamte Domäne übernehmen.
Auch „unwichtige“ Konten sind lohnende Ziele
Aber auch wenn es sich erst mal „nur“ um ein gering privilegiertes Dienstekonto handelt, ist für den Hacker schon viel gewonnen. Denn die Chancen stehen gut, dass es auch von dort aus weitergeht. Dazu wird der Angreifer versuchen, Administratorrechte auf dem Hostsystem zu erlangen. Per Skript kann er selbst auf schwachbrüstigen Systemen 50 oder 100 Credentials pro Sekunde ausprobieren (auf Linux mit „su“ oder „sudo“ braucht er dafür noch nicht einmal Benutzernamen). Mit etwas Glück hatte es der Admin bei der Einrichtung eilig oder das Standard-Passwort des Herstellers wurde nie geändert – voilà.
Als Administrator kann der Angreifer dann beispielsweise Malware installieren, auf andere lokale Benutzerkonten zugreifen oder auch einen „Name-Resolution-Response“-Angriff auf andere Systeme versuchen. Der macht sich Schwachstellen im LLMNR-Protokoll zunutze (Link-Local Multicast Name Resolution), das Systeme nutzen, um einen benötigten Dienst bei Problemen mit der DNS-Auflösung (angefragter Hostname des Dienstes existiert nicht) doch noch zu finden, nämlich per Multicast-Anfrage an alle Teilnehmer im Netzwerk. Der Angreifer antwortet auf eine solche Anfrage und gibt sich als der gesuchte Dienst aus. Das anfragende System versucht sich zu authentifizieren und der Angreifer fängt diese Informationen ab. Er erbeutet zwar kein Passwort im Klartext, aber einen Hash (Net-NTLM-Hash), den er dann in Ruhe mit einem Brute-Force- oder Dictionary-Angriff knacken kann.
Welche Techniken werden bei Privilege Escalations eingesetzt?
Generell gilt, dass Angreifer von innen heraus Schwachstellen im System, wie ungepatchte Software oder schwache Passwörter, leichter ausnutzen können als von außen. So können sie beispielsweise besser Passwort-Angriffe durchführen, da interne Systeme seltener die Anzahl der Anmeldeversuche beschränken. Fallen ihnen Passwort-Hashes in die Hände, können sie einen Offline-Angriff (ohne Login-Versuche) starten, um die darin verschlüsselten Passwörter zu ermitteln. Wenn es sich lohnt, nutzen Profis dafür sogar HPC-Cluster (High Performance Computing) aus der Cloud – dann sind auch längere, nicht zu komplizierte Nicht-Standard-Passwörter gefährdet. Problematisch ist auch, dass solche Offline-Angriffe kaum von Intrusion-Detection-Systemen erkannt werden können und die Aktivitäten angemeldeter Benutzer oft weniger streng überwacht werden. (Hier finden Sie eine aktuelle Analyse unserer Experten zur Brute-Force-Dauer von MD5 Hashes mit handelsüblicher Hardware)
Angreifer können verschiedene Techniken nutzen, um erhöhte Rechte in einem System zu erlangen, zum Beispiel:
- Passwortangriffe, etwa mit Hilfe von Tools wie Mimikatz, durch Brute-Force-Angriffe (Trial and Error) und regelbasierte Wörterbuchangriffe (lange Wortlisten, oft mit geleakten Passwörtern, die zudem systematisch variiert werden), oder auch „Password Spraying“, bei dem bereits kompromittierte Kennwörter bei vielen Konten ausprobiert werden;
- Ausnutzung von Konfigurationsfehlern bei Zugriffskontrolle und Absicherung, etwa eine unzureichende Trennung von Berechtigungen, missbrauchbare Vertrauensbeziehungen im Active Directory oder schwache Authentifizierungsmechanismen;
- Exploits von Software-Sicherheitslücken, meist automatisiert mit Tools wie Lucifer, pwncat, GTFONow, LinPEAS, Linux Exploit Suggester oder Windows Exploit Suggester;
- Malware, etwa Keylogger oder Rootkits;
- Social Engineering, zum Beispiel Phishing-Angriffe, um Benutzer zur Preisgabe von Anmeldedaten, Ausführung einer Datei oder anderen Aktion zu bewegen.
Microsoft Windows und das Active Directory bieten Hackern mit lokalem Zugriff diverse Angriffsflächen. Ein Beispiel ist der oben erwähnte „Name-Resolution-Response“-Angriff; dabei erbeutete Hashes müssen aber nicht zwangsläufig gecrackt, sondern können unter Umständen auch direkt zur Authentifizierung weitergereicht werden (NTLM-Relaying-Angriff). Mit Admin-Rechten können Hashes auch aus dem Arbeitsspeicher ausgelesen und genutzt werden (Pass-the-Hash; auch unter Linux möglich). Ähnliches gilt für sogenannte Access Tokens, die vom AD nach erfolgter Authentifizierung im Browser gespeichert werden, um die Anmeldung bei anderen Microsoft-Diensten zu ermöglichen. Das im Active Directory zur Authentifizierung verwendete Kerberos-Protokoll wiederum ist anfällig für das sogenannte „Kerberoasting“: Hierbei werden mit dem kompromittierten Konto eines Domänen-Benutzers Kerberos-Servicetickets angefordert, die eigentlich Nutzern mit entsprechenden Rechten Zugriff auf diverse Dienste verschaffen sollen, ohne dass sie sich stets aufs Neue bei diesen anmelden müssten. Auch wenn die Anmeldung am Ende fehlschlägt, erhält der Angreifer doch die Tickets, und weil jedes davon u. a. einen Kennwort-Hash des gewünschten Dienstes enthält, kann der Angreifer versuchen, diesen offline zu knacken und so die Rechte des Dienstekontos zu übernehmen.
Wie können sich Organisationen gegen Privilege Escalations schützen?
Um das Risiko für Privilege Escalations zu senken, sind Maßnahmen auf verschiedenen Ebenen erforderlich:
- Passwortbezogene Angriffe können nur durch die Durchsetzung von strengen Richtlinien zur Kennwortkomplexität und das Erzwingen starker Authentifizierungsmechanismen (z. B. Multi-Faktor-Authentifizierung) verhindert werden.
- Sichere und fehlerfreie Konfigurationseinstellungen, z. B. die Deaktivierung unnötiger Dienste, Einsatz von Verschlüsselung oder die korrekte Umsetzung von Zugriffskontrollen, verringern auch das Risiko von Privilege Escalations. Wichtig ist ein durchdachtes Berechtigungskonzept nach dem schon erwähnten PoLP-Prinzip minimaler Privilegien mit rollenbasierter (RBAC) oder bei komplexeren Anforderungen attributbasierter Zugriffskontrolle (ABAC).
- Um Sicherheitslücken zu vermeiden bzw. schnell zu schließen, müssen Systeme stets aktuell gehalten werden. Ebenso wichtig sind ein effizientes Schwachstellen-Management mit regelmäßigen Vulnerability Scans und Penetrationstests sowie nicht zuletzt Schutzmaßnahmen für laufende Anwendungen (Überwachung, Sandboxing etc.) die Auswirkungen erfolgreicher Exploits abschwächen.
- Implementieren Sie Endpunkt-Sicherheitslösungen inkl. Virenschutz, hostbasierter Firewalls und Intrusion Detection/Prevention Systems (IDS/IPS), um Ihre Systeme kontinuierlich auf verdächtiges Verhalten und bekannte Indicators of Compromise (IOCs) zu überwachen und Angriffe rechtzeitig zu erkennen.
- Die relevanteste Sicherheitslücke eines Systems sind seine Benutzer. Deshalb gehören die Schulung und Sensibilisierung der Mitarbeiter in Security-Fragen zu den wichtigsten Maßnahmen, um Social Engineering, aber auch Fehler wie zu schwache Passwörter oder ihre Wiederverwendung zu verhindern.
Durch die proaktive Umsetzung sowie kontinuierliche Überprüfung und Anpassung von diesen und anderen Präventivmaßnahmen können Unternehmen die Risiken von Privilege Escalations mindern und die Wahrscheinlichkeit erfolgreicher Angriffe verringern. Mehr Informationen zur Active-Directory-Absicherung erhalten Sie hier im englischen Blog:
Active Directory security best practices
Active Directory and domain controller security best practices
How to find default passwords in Active Directory
Autor
Micha Richter
Dr. Michael Richter ist seit 20+ Jahren Leiter Text der B2B-Content-Marketing-Agentur ucm. Er schreibt zu IT-Themen für diverse Branchen, darunter Public Services, Medizin/Pharma und Maschinenbau, mit besonderem Fokus auf Sicherheit (Security & Safety), Cloud und Automatisierung.
(Zuletzt aktualisiert am 22/10/2024)