Active Directory: Wie Angreifer fehlerhafte Konfigurationen ausnutzen
Firmen nutzen meist nicht alle Funktionen des Active Directory – Hacker jedoch schon. Die aktuelle Februar-iX erklärt, welche Angriffe es gibt.
Steigen Angreifer ins Active Directory eines Unternehmens ein, können sie schnell wahre Datenschätze sammeln und sich so höhere Rechte verschaffen. Im mittlerweile sechsten Teil der iX-Reihe zur AD-Sicherheit erklärt Frank Ully, wie Kriminelle Tickets, Delegierung und Trusts missbrauchen.
Beide Arten von Kerberos-Tickets sind für Hacker lohnenswerte Ziele: Ticket Granting Tickets und Servicetickets stellen wie Passwörter, Passwort-Hashes und Kerberos-AES-Schlüssel Authentifizierungsmaterial dar. Mit ihnen können sie auf andere Rechner oder Netzwerkressourcen zugreifen, indem sie sich schlicht im Namen eines Benutzers bei einem anderen System anmelden.
Alle Rechte für den Hacker
Dabei lohnt sich unmittelbar ein genauer Blick auf die eigene Infrastruktur, denn durchs Ausnutzen einer fehlerhaften Konfiguration jeder Delegierungsart – uneingeschränkte, eingeschränkte und selbst ressourcenbasiert-eingeschränkte – erhöhen Angreifer ihre Rechte schnell zu lokalen Administratoren bis hinauf zum Domänenadmin.
So ist zum Beispiel IPv6 in Active-Directory-Umgebungen in der Standardeinstellung aktiviert, aber häufig haben Administratoren es nicht konfiguriert und viele Firmen setzen das Protokoll nicht produktiv ein. Doch Windows bevorzugt IPv6 gegenüber IPv4 – was Hacker gut für Man-in-the-Middle-Angriffe ausnutzen können.
Alle Informationen zu möglichen Angriffen und Fehlkonfigurationen finden Sie im Artikel:
- Netzwerksicherheit: Active Directory: Wie Angreifer Tickets, Delegierung und Trusts missbrauchen; iX 2/2021, S. 116.
(fo)
