Informationsbeschaffung – was jeder Domänenbenutzer alles sieht

Nach oben gehangelt

Frank Ully

Oftmals erscheinen in Systemen hinterlegte Informationen zunächst harmlos. Doch mit den richtigen Werkzeugen nebst der Fantasie des Sicherheitstesters oder im schlimmeren Fall der kriminellen Energie eines Angreifers bieten sie erste Ansatzpunkte, in ein Netzwerk einzudringen. Von da ist es nur ein kleiner Schritt, sich immer weitere Rechte zu verschaffen.

In diesem dritten Teil der mehrteiligen Reihe zur Sicherheit des Active Directory (AD) geht es darum, wie Angreifer durch gezielte Informationsbeschaffung – unangemeldet oder als normal privilegierter Domänenbenutzer – schnell höhere Rechte im AD erlangen können; all dies mit Funktionen und Tools, die leicht verfügbar sind oder von Windows mitgeliefert werden.

Wie im Artikel „Himmelsgeschenk“ auf Seite 40 beschrieben, muss man nach dem „Assume Breach“-Ansatz davon ausgehen, dass es Angreifern keine Schwierigkeiten bereitet, einen beliebigen Windows-Client in einem Unternehmen zu kompromittieren und von dort Befehle auszuführen [1]. Aber auch ein gekaperter Linux-Server, der über eine klassische Softwareschwachstelle geentert wurde, an ein Active Directory angebunden ist und entgegen allen Good Practices nicht ausreichend vom internen Netzwerk abgeschirmt in einer demilitarisierten Zone (DMZ) steht, ist ein guter Ausgangspunkt.

Bin ich schon drin?

In der Regel wird ein fortgeschrittener Angreifer eine Command-and-Control-Infrastruktur aufbauen (siehe dazu Artikel „Unentdeckte Hintertüren“ in iX 2/2019), mit der er bequem aus der Ferne Befehle auf den kompromittierten Systemen ausführt. Bei Bedarf kann er über Proxy-Mechanismen wie SOCKS auf seinem eigenen Rechner mit einem beliebigen Betriebssystem Standardwerkzeuge benutzen, deren Netzwerkverkehr über die Command-and-Control-Infrastruktur und die damit kontrollierten gekaperten Systeme in die entfernte Organisation geleitet wird. Ihm steht also ein breites Arsenal an Werkzeugen zur Verfügung.

Die folgende Beschreibung geht davon aus, dass der Angreifer Kontrolle über ein Linux-System gewonnen hat, das sich mit einem Domänencontroller (DC) im selben Netzwerk befindet. Der Linux-Rechner muss nicht unmittelbar an die Domäne angebunden sein. Eine alternative Möglichkeit, einen derartigen Zugriff zu erhalten, hat ein Angreifer beispielsweise, wenn er physisch in die angegriffene Organisation eindringt und einen Minirechner wie einen Raspberry Pi mit einer Pentesting-Distribution wie Kali Linux an eine öffentlich zugängliche Netzwerkbuchse steckt [3].

Alle im Folgenden von Linux ausgehenden Informationsabflüsse sind analog dazu von einem Windows-System aus möglich, teilweise mit anderen Werkzeugen.

Wo ist der Domänencontroller?

Damit ein Rechner nach dem Booten den Anschluss in einem Netzwerk findet, hilft das Dynamic Host Configuration Protocol (DHCP). Der DHCP-Server, häufig eine Funktion des Domänencontrollers, weist Clients und oft auch Servern dynamisch IP-Adressen zu und übermittelt weitere Netzkonfigurationen; unter anderem die IP-Adresse des DNS-Servers, der für die Namensauflösung verantwortlich ist.

Das bekannte Scantool Nmap ist das Werkzeug der Wahl für Portscans, kann aber viel mehr als nur das und verfügt sogar über eine erweiterbare Nmap Scripting Engine (NSE; die im Artikel angesprochenen Werkzeuge sind unter ix.de/zer8 zu finden). Es eignet sich, um eine entsprechende DHCP-Anfrage durchzuführen (Listing 1).

Listing 1: DHCP-Abfrage

# nmap --script broadcast-dhcp-discover
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|   IP Offered: 10.10.0.144
|   DHCP Message Type: DHCPOFFER
|   IP Address Lease Time: 2h00m00s
|   Server Identifier: 10.10.0.1
|   Subnet Mask: 255.255.255.0
|   Router: 10.0.0.1
|   Domain Name Server: 10.10.0.1
|_  Domain Name: produktion.ad.2consult.ch

Einer der ersten Schritte eines Angreifers ist in der Regel ein Portscan der Zielsysteme. So erfährt er, welche Dienste auf dem Windows Server laufen. Ein einfacher Scan der häufigsten 1000 Ports auf einem Domänencontroller ergibt etwa ein Bild wie in Listing 2.

Listing 2: Portscan

# nmap -sS -Pn -n 10.10.0.1
Nmap scan report for 10.10.0.1
Host is up, received arp-response   (0.00080s latency).
Scanned at 2020-06-14 20:53:02 CEST for 21s
Not shown: 988 filtered ports
PORT     STATE SERVICE
53/tcp   open  domain
80/tcp   open  http
88/tcp   open  kerberos-sec
135/tcp  open  msrpc
389/tcp  open  ldap
445/tcp  open  microsoft-ds
464/tcp  open  kpasswd5
593/tcp  open  http-rpc-epmap
636/tcp  open  ldapssl
3268/tcp open  globalcatLDAP
3269/tcp open  globalcatLDAPssl
3389/tcp open  ms-wbt-server

Das Lightweight Directory Access Protocol (LDAP) lauscht auf einer Reihe von Ports. Auch Kerberos auf TCP-Port 88 ist ein Hinweis darauf, dass dieses System ein Domänencontroller ist.

Es sind keine besonderen Privilegien erforderlich, um sich an LDAP zu binden – jeder gültige Account kann grundlegende Daten über das Verzeichnis lesen. Gemäß LDAP-Spezifikation muss der Server auch ohne Authentifizierung einige Informationen über den Einsprungspunkt RootDSE (siehe ix.de/zer8) bereitstellen.