Ein Angriff auf die verstrickte Welt des Windows Active Directory

Windows Active Directory (AD) ermöglicht es Unternehmen, die Systeme aller Mitarbeitenden extrem effizient und übersichtlich zu administrieren. Doch wie es heißt: „Aus großer Macht folgt große Verantwortung.“
Was AD zum absoluten Schlüsselelement in Sachen Windows Administration macht, ist gleichzeitig seine größte Schwachstelle. Gelingt es Angreifern, sich Zugang zu einem Domain Controller (wie ein AD-Administrator) zu verschaffen, beherrscht er so gut wie jedes System Ihres gesamten Unternehmens.
In diesem Beitrag schauen wir uns an, wie ein gezielter Angriff auf ein AD aus der Perspektive eines Hackers aussehen kann.

Initialer Zugriff

Ein initialer Zugriff auf ein System innerhalb des Zielnetzwerkes ist immer der erste Schritt eines jeden Angreifers. Hierbei ist es prinzipiell egal, welches System und welche Methode verwendet wurden, um diesen initialen Zugang zu erlangen.

• Phishing: Auf traditionellen Computersystemen von Mitarbeitenden ist dies immer noch die häufigste Methode. Dabei werden Zugangsdaten abgefangen oder Malware auf das Zielsystem geschleust.
• IoT-Geräte: Angriffe beschränken sich längst nicht mehr nur auf Computer. Heutzutage kann jedes „smarte“ Gerät (Kühlschrank, Kaffeemaschine, Drucker) für einen Angriff verwendet werden. Diese Geräte haben oft ein voll funktionsfähiges Linux-System unter der Haube mit Firmware, die online abrufbar ist und deswegen leicht in die Hände von Angreifern gelangt. Fehlende Updates durch schlecht gewartete Geräte (seitens Hersteller sowie Endnutzer) machen es Angreifern oft leicht, einen Zugriff ins Unternehmensnetzwerk zu bekommen und dort persistent zu verweilen. Auch Angriffe auf die Lieferketten Ihres Unternehmens können einen Zugang ins interne Netzwerk frei geben.
• Öffentliche Dienste: Häufig kommt es vor, dass einfache Systeme, die durch das Internet erreichbar sind (z. B. die offizielle Firmenwebseite), durch eine Schwachstelle kompromittiert werden und somit als Einfallstor ins interne Netzwerk dienen.

Advanced Persistent Threat (APT)

Ein Angreifer schaut sich nicht einfach nur um, nimmt mit, was er in dem Moment kriegen kann, und verschwindet wieder. In einem realistischen Szenario versucht der Angreifer, sich einen permanenten Zugang in Ihr System zu legen, sodass er unabhängig von der verwendeten Schwachstelle immer eindringen kann. Der Zugang liegt nun und wartet darauf, verwendet zu werden. Oft warten Angreifer Monate bis Jahre auf den richtigen Moment zuzuschlagen. Das nennt man Advanced Persistent Threat. Eventuell ergibt sich die Möglichkeit, Ransomware auf der gesamten IT-Infrastrutkur Ihres Unterenehmens zu verbreiten und nicht nur auf der Kaffeemaschine, in der er sich am Anfang Zutritt verschafft hat.

Ransomware ist laut des Bundesamt für Sicherheit in der Informationstechnik“(…) Schadprogramme, die auf die Blockade des Computersystems oder die Verschlüsselung der Betriebs- und Nutzerdaten abzielen. (…) Ziel ist es Lösegeld zu erpressen.“

Oft kann sich der Angreifer ein neues Nutzerkonto erstellen oder ein existierendes verwenden. Seine Aktivitäten werden somit von Antivirenprogrammen und Firewalls nicht mehr als verdächtig erkannt, da er die sowieso dafür vorgesehenen Systeme verwendet (Living off the Land).

Windows Active Directory (AD)

AD ist ein von Microsoft entwickelter Verzeichnisdienst, der die zentrale Verwaltung von Benutzern, Computern und Ressourcen innerhalb eines Windows-Netzwerks ermöglicht.

Diese Zentrale Verwaltung bedeutet, dass alle Zugriffsrechte Ihrer IT-Administratoren und Sicherheitsrichtlinien an einem einzigen Ort festgelegt sind, anstatt jedes Gerät einzeln konfigurieren zu müssen.

Durch das Prinzip des Single Sign-On müssen sich Ihre Mitarbeitenden nur einmal beim Domain Controller (DC) im AD anmelden, um auf alle für sie freigegebenen Daten und Anwendungen im gesamten Unternehmen zuzugreifen.

Ein Angreifer, der die Kontrolle über das AD Ihres Unternehmens bekommt (also dessen DC), ist somit automatisch der Administrator über jedes angebundene Gerät Ihres Unternehmens. Deshalb ist die Kontrolle des AD meistens das Hauptziel eines jeden Angreifers.

SharpHound und BloodHound

Zwei Tools stechen heraus, die Angreifer häufig verwenden, um sich schnell durch das AD zu bewegen:

SharpHound: Wird auf dem Zielsystem innerhalb des Netzwerkes des Opfers ausgeführt. Windows AD ist eine sehr offene Infrastruktur, was die Informationen der Richtlinien der Nutzer und Gruppen angeht. Jeder Nutzer hat das Recht, diese Informationen zu lesen. SharpHound macht sich diese Eigenschaft zunutze, fragt das Netzwerk nach jeder Konfiguration, die im gesamten Netzwerk eingerichtet wurde, und sammelt diese Informationen in einer Datei.

BloodHound: Dies ist das Zusatzprogramm, dessen Funktion es ist, zurück auf dem Computer des Angreifers, diese exportierte Datei auszulesen. BloodHound zeigt nun die gesamte AD-Infrastruktur des Zielnetzwerkes an. Durch gezielte Suche können sämtliche Schwachstellen in dessen Konfiguration ausgelesen werden. Vor allem eignet sich BloodHound dafür, relevante und mächtige Nutzer und Systeme zu identifizieren, die bei einem Angriff besonders hohe Erfolgswahrscheinlichkeiten erzielen würden.

Häufigste Angriffsvektoren

In diesem Absatz werden ein paar der gängigsten Methoden erwähnt, um den Angriff auszuweiten. Nachdem ein gutes Ziel mittels BloodHound identifiziert wurde, geht es nun darum, dieses anzugreifen.

Pass-the-Hash

Eine Schwachstelle in Windows-Systemen ermöglicht es Angreifern mit den richtigen Tools, sich als Nutzer in anderen Systemen anzumelden – mit deren Benutzernamen und NTLM-Hash, ohne das Nutzer-Passwort zu kennen. Einen NTLM-Hash kann man sich wie ein einzigartiger Fingerabdruck eines Passwortes vorstellen. Das Problem ist, dass dieser NTLM-Hash oft leichter zugänglich ist als das eigentliche Passwort, begünstigt durch Fehlkonfigurationen in den Systemen.
Zwar können wir nicht einfach von dem Hash das Passwort herausfinden aber wie gerade festgestellt, braucht der Angreifer das meistens auch nicht.

Aus BloodHound hat der Angreifer erfahren, dass sein aktueller Nutzer durch eine
Fehlkonfiguration das Recht hat, im AD einen DCSync durchzuführen.

Ein DCSync ist eine Methode, mit der zwei Domain Controller sich gegenseitig über Änderungen in den Richtlinien und Rechten aktualisieren, sodass beide die gleichen Informationen besitzen. Dieses Recht erlaubt es dem Angreifer jetzt, den Domain Controller nach allen ihm bekannten Hashes zu fragen. Der Domain Controller überträgt dem Angreifer somit alle NTLM-Hashes der AD, mit denen der Angreifer sich nun als jeder beliebigen Nutzer ausgeben kann.

Mit diesen Hashes kann sich der Angreifer beliebige Tickets ausstellen, die dafür verwendet werden können, um Dienste im Netzwerk zu bedienen. Ein Ticket hat meistens eine ganz bestimmte Funktion, die einem Dienst und einem Nutzer zugewiesen wird (z. B. „Martin darf auf den geheimen Samba-Unternehmens-Share zugreifen.“). Da der Angreifer in Besitz aller NTLM-Hashes ist, kann er sich jetzt ein Golden Ticket generieren. Ein Golden Ticket ist das endgültige Ziel eines Angreifers; Das Beispiel davor war spezifisch für „Martin“, für den „Samba“ dienst auf den „Unternehmens-Share“ ausgelegt. Das Golden Ticket jedoch gibt einem Angreifer vollständige Kontrolle über alle Dienste Ihres Netzwerkes, da es für jeden Dienst gültig ist. Es ist der Generalschlüssel der IT-Infrastruktur Ihres Unternehmens.

Fazit

Dieses Szenario ist zwar fiktiv skizziert, leider ist es uns so oder so ähnlich schon sehr häufig in unseren Untersuchungen untergekommen. Es reicht oft, dass ein kleiner Fehler im System vorliegt, um die Sicherheit der gesamten Infrastruktur zu kompromittieren. Nur Experten sollten Änderungen an der AD-Infrastruktur durchführen und niemals unbedacht.

Diese News könnte Sie auch interessieren: