Active Directory: Komfortable IT-Schaltzentrale mit Schwachpunkten

Seit seiner Einführung mit Windows Server 2000 hat sich das Active Directory, abgekürzt AD, zum am häufigsten verwendeten Dienst für die Ressourcenverwaltung entwickelt – genutzt von 90 Prozent aller Unternehmen weltweit. Für Administratoren ist AD ein bequemer Dienst zum Verwalten mehrerer Systeme und hat sich womöglich in den Köpfen vieler als Quasi-Synonym für reibungsloses Single Sign-on festgesetzt.

Dieser Erfolg mag auf die Vorteile zurückzuführen sein, die mit seinem Einsatz einhergehen: Ein AD kann die individuelle Netzwerkstruktur einer Organisation abbilden und darin Benutzereinstellungen, Zugriffsrechte und Sicherheitsrichtlinien steuern. Jeder Client und jeder Server innerhalb des Netzwerks lässt sich damit zentral verwalten. Über Protokolle wie Kerberos oder LDAP, von denen noch die Rede sein wird, können auch Nicht-Windows-Systeme wie Linux-Server sich gegenüber einem AD ausweisen oder Daten daraus lesen.

Mit den Jahren ergänzte Microsoft das Active Directory um weitere Dienste, beispielsweise zur Zertifikatsverwaltung für eine Public-Key-Infrastruktur. Wenn vom AD die Rede ist, meint dies in der Regel die Kernkomponente Active Directory Domain Services (AD DS): Sie stellt Au­thentifizierungs- und Autorisierungsdienste bereit und ist Basis für viele andere Microsoft-Produkte wie Exchange oder SharePoint.

Eldorado für Hacker und Malware

Als Verzeichnisdienst für Netzwerkressourcen, Benutzerkonten und Zugriffsrechte ist das AD für Angreifer eine sprichwörtliche Goldgrube. Aus Sicherheitssicht besteht ein großes Risiko, da darin alle für die Tätigkeiten der Organisation wesentlichen Systeme miteinander verbunden sind.

Durch Kompromittieren des Active Directory können Eindringlinge Rechte erlangen, die denen eines Unternehmensadministrators entsprechen – und damit volle Kontrolle über das gesamte Netzwerk gewinnen.

Um dieses Ziel zu erreichen, müssen sich Angreifer zunächst Zugang zum internen Netzwerk verschaffen, das in den meisten Fällen nicht direkt aus dem Internet zugänglich, sondern etwa durch Firewalls geschützt ist. Bevorzugter Angriffsvektor ist das schwächste Glied der Kette – der Mensch. Auch ungeschützte Remote-­Zugänge wie RDP (Remote Desktop Protocol) sind ein Einfallstor. Über Phishing eingeschleuste Schadsoftware nutzt anschließend Fehlkonfigurationen im AD aus, um sich automatisiert im Netzwerk auszubreiten.

Ein prominentes Beispiel ist die schlagzeilenträchtige Malware Emotet, die das Schadprogramm Trickbot nachlädt, um Kontrolle über das AD zu gewinnen, und anschließend alle im Netzwerk erreichbaren Systeme mit der Ransomware Ryuk verschlüsselt (Details zu diesem und allen nachfolgend beschriebenen Angriffen siehe ix.de/z9j3). Die Ausbreitungsgeschwindigkeit von Malware in einem AD ist enorm hoch: Ein Versuch der Sicherheitsforscher von Palo Alto zeigte, dass Emotet/Trickbot innerhalb von 20 Minuten nach der Erstinfektion eines Clients den dazugehörigen Windows-Domänencontroller (DC) infizierte, den zentralen Server in einem AD.

Betroffen sind nicht nur Unternehmen, sondern auch nationale und supranationale Institutionen: etwa beim viel publizierten „Bundestagshack“ im Sommer 2015, bei dem die Angreifer schnell Administratorrechte im AD des Bundestags erlangten und sich zeitweise ungehindert darin ausbreiten konnten. Auch bei der weniger prominenten Attacke auf die Vereinten Na­tionen 2019, bei der UN-Büros in Genf und Wien kompromittiert wurden, war der Verzeichnisdienst wesentliches Ziel der Hacker. Und schließlich bemängeln Kontrollorgane auch bei Bundesbehörden in den USA – die tendenziell in Sachen IT-Sicherheit besser gerüstet sind als andere Länder – die unzureichende Absicherung des Active Directory, etwa beim US-Patentamt oder der Steuerbehörde IRS.