Active Directory: Wie Angreifer Tickets, Delegierung und Trusts missbrauchen
Vertrauensfragen
Besonders tückisch ist beim Active Directory alles, was im Zusammenhang mit Vertrauen und Rechten steht. Fehlkonfigurationen sind hier gleichbedeutend mit einem hohen Missbrauchspotenzial für Angreifer.
Der sechste Teil der mehrteiligen Reihe über Active Directory (AD) beschreibt ergänzend zu den vorigen Beiträgen – besonders zu den Artikeln in iX 11/2020 [1] und iX 12/2020 [2] – weitere Möglichkeiten, wie Angreifer sich mit den Datenschätzen, die sie bei der Erforschung des AD (Enumeration) angehäuft haben, höhere Rechte verschaffen. Er zeigt Fehlkonfigurationen bei den verschiedenen Arten der Delegierung und stellt eine neue Variante bekannter Angriffe wie Net-NTLM-Relaying [3] vor. Zudem wird erklärt, wie leicht Angreifer mit Administratorrechten in einer Domäne deren Grenze überschreiten und alle Domänen innerhalb der AD-Gesamtstruktur kompromittieren.
Beim Pass-the-Hash-Angriff [1] missbraucht ein Angreifer den NT-Passwort-Hash, bei Overpass the Hash alternativ einen AES-Kerberos-Schlüssel – beide dienen äquivalent zu Passwörtern dem Zugriff auf entfernte Ressourcen. Ebenso können Kerberos-Tickets gestohlen und wiederverwendet werden, um Zugang zu einem anderen Rechner oder Netzwerkressourcen zu erhalten.