Active Directory (AD) ist f¨¹r die meisten Unternehmen eine wichtige Stutze, vor allem, da das Identit?tsmanagement selbst f¨¹r kleine und mittlere Unternehmen (KMU) zunimmt und die Digitalisierung von ehemals ortsans?ssigen Organisationen voranschreitet. Dieses weit verbreitete Instrument birgt jedoch erhebliche Sicherheitsrisiken.
Ransomware-Gruppen haben es h?ufig auf das Tool abgesehen, da es gro?e Mengen an wertvollen Anmeldeinformationen enth?lt und zentral in einem Netzwerk platziert ist. Mehrere der im -Standard aufgelisteten Taktiken, Techniken und Verfahren (Tasks, Techniques, und Procedures, TTPs) umfassen AD von der Anforderung von Anmeldeinformationen bis zur Erstellung, Moderation oder L?schung von Objekten. Zus?tzlich zu diesen externen Bedrohungen erh?ht die interne Verwaltung von lokalen und Cloud-Instanzen von AD die Komplexit?t eines Netzwerks und kann die Angriffsfl?che einer Organisation verdoppeln.
W?hrend dieses Tool f¨¹r Unternehmen bei der Verwaltung ihrer Benutzer und des Zugriffs auf ihr Netzwerk unentbehrlich sein kann, wird es f¨¹r Bedrohungsakteure, die ausgekl¨¹gelte Cyberangriffe durchf¨¹hren wollen, schnell zu einem Muss, es zu hacken. Unternehmen m¨¹ssen AD nicht als standardm??ig sicher betrachten, sondern als Teil ihrer Identit?tsinfrastruktur , die konsequent gest?rkt und solide gesichert werden muss.
Was ist Microsoft Active Directory?
Microsoft Active Directory (AD) ist ein Verzeichniswerkzeug f¨¹r Systemadministratoren, mit dem sie den Netzwerkzugang und die Berechtigungen f¨¹r Benutzer innerhalb eines Systems festlegen und verwalten k?nnen. AD enth?lt mehrere Komponenten, darunter Active Directory Domain Services, Active Directory Certificate Services und Active Directory Federation Services.
Active Directory dient dazu, Benutzer mit Netzwerkressourcen zu verbinden. Technisch gesehen speichert AD Daten in Form von Objekten, bei denen es sich um einzelne Benutzer, Gruppen oder sogar um ein Ger?t wie einen Drucker handeln kann. Das Tool legt dann die Kontrollen f¨¹r die Objekte fest, ¨¹berpr¨¹ft die voreingestellten Kontrollen oder erteilt oder verweigert die Genehmigung f¨¹r bestimmte Aktionen.
Diese Struktur von AD erkl?rt auch, warum es f¨¹r Bedrohungsakteure so wertvoll ist. Dieses Tool kann nicht nur Benutzeranmeldedaten speichern und den Zugriff auf verschiedene Ressourcen gew?hren, sondern Bedrohungsakteure k?nnen auch die Berechtigungen selbst ?ndern und sehen, wie das Netzwerk konfiguriert ist und worauf Benutzer Zugriff haben. Es ist eine Fundgrube f¨¹r Hacker und wird in der Cybersicherheitsbranche oft als ?Schl¨¹ssel zum K?nigreich¡° bezeichnet.
Active Directory und Identit?tssicherheit
Wenn es um Identit?tssicherheit geht, hat AD zwei Seiten. Auf der einen Seite erm?glicht AD Unternehmen die Umsetzung ihrer Ziele im Bereich Identit?ts- und Zugriffsmanagement (Identity und Access Management, IAM) und Identit?tssicherheitsinitiativen durch die Konfiguration von Berechtigungen f¨¹r Benutzer und Ger?te innerhalb des Netzwerks. Die Einschr?nkung von Berechtigungen und des Netzwerkzugriffs erm?glicht es einer Organisation, Zero-Trust-Modelle und Privilege Access Management (PAM) innerhalb ihres Netzwerks besser zu befolgen. Desweiteren schafft es Transparenz, indem es den IT-Teams erm?glicht, das “Wer, Was und Wann” des internen Zugriffs zu sehen und ?nderungen vorzunehmen, um den Netzwerkzugang zu sichern oder anzupassen.
Die Kehrseite der Medaille ist, dass die st?ndige Konfiguration die ohnehin schon strapazierten internen Ressourcen ¨¹berfordern kann. Dar¨¹ber hinaus ist AD ein massives Ziel und eine potenzielle Schwachstelle in der Identit?tssicherheitsstruktur eines Unternehmens, da Bedrohungsakteure den gleichen Wert darin sehen. Wenn es ihnen gelingt, ¨¹ber eine Schwachstelle in AD einzudringen, Anmeldeinformationen zu stehlen, und Berechtigungen zu ?ndern, l?st sich die gesamte Identit?tssicherheitsstruktur eines Unternehmens auf, so dass der Bedrohungsakteur freie Hand hat, einen Angriff zu starten.
Sicherheitsrisiken bei Active Directory
Active Directory kann eine gro?e Schwachstelle in Ihrem Netzwerk sein. 90 % der Fortune-1000-Unternehmen weltweit nutzen das Tool, aber laut einem k¨¹rzlich erschienenen r?umt nur ein Viertel dieser Unternehmen seiner Sicherheit h?chste Priorit?t ein.
Zu den Schwachstellen von Active Directory geh?ren:
- Administratoren, die keine Sicherheitsexperten sind
- Fehlende Sicherheitspriorisierung f¨¹r AD
- Interne Ressourcen sind ¨¹berlastet und nicht auf AD spezialisiert
- Zus?tzliche Komplexit?t des Netzwerks, die die Angriffsfl?che vergr??ert, insbesondere in hybriden oder Unternehmensumgebungen
- Immer h?ufiger wird das Tool von Bedrohungsakteuren ins Visier genommen
- Baut auf vorhandener Software auf
- Sie ist allgegenw?rtig, was bedeutet, dass sich Bedrohungsakteure immer auf ihre Existenz als Angriffsm?glichkeit verlassen k?nnen.
- Enth?lt eine sofort einsatzbereite Konfiguration
- Enth?lt Schlupfl?cher aufgrund von veralteten Protokollen und Verschl¨¹sselungsschemata
Bedrohungsakteure k?nnen sich auf verschiedene Weise Zugang zu AD verschaffen und so ihre Angriffe verst?rken. Diese lassen sich in zwei Kategorien einteilen, je nachdem, ob ein Bedrohungsakteur bereits internen Zugang hat oder nicht. Wenn sie keinen internen Zugang haben, werden sie sich auf Social Engineering und passwortbasierte Angriffe verlassen.
Wenn sie internen Zugang haben, gibt es einige g?ngige Taktiken, die sie anwenden:
1. Kerberoasting
Dieser Angriff zielt auf Dienstkonten und nutzt den Service Principal Name (SPN) f¨¹r ein Benutzerattribut aus, so dass der Hacker den “Passwort-Hash” f¨¹r ein Benutzerkonto erhalten und knacken kann. Dies ?ffnet eine Reihe von T¨¹ren innerhalb des Netzwerks, die es dem Hacker erm?glichen, sich als rechtm??iger Benutzer auszugeben und sich zu bewegen.
2. Man-in-the-middle (Mann in der Mitte)
Bestimmte Legacy-Protokolle werden f¨¹r AD sofort unterst¨¹tzt und k?nnen leicht durch Man-in-the-Middle-Angriffe ausgenutzt werden, wenn ein Angreifer eine verschl¨¹sselte Authentifizierungsnachricht abf?ngt und sie knacken kann oder wenn eine abgefangene Verschl¨¹sselungsnachricht an einen anderen Host weitergeleitet wird.
3. Pass-the-Hash (Weitergabe des Hash)
Bei dieser Taktik verwenden Angreifer ein Tool wie MimiKatz, das das Authentifizierungsprotokoll ausnutzt, um sich als Benutzer auszugeben und Hashes von Anmeldedaten aus dem Speicher zu l?schen.
4. Standard-Anmeldeinformationen
Manche Administratoren vergessen, die Standardpassw?rter f¨¹r Ger?te und Systeme zu ?ndern, so dass sich Bedrohungsakteure Zugang verschaffen k?nnen, indem sie die Standardpassw?rter ausprobieren, die mit dem Ger?t geliefert wurden.
5. Active Directory-Berechtigungserweiterung
Wenn ein Bedrohungsakteur ¨¹ber die Anmeldedaten eines bestimmten Benutzers verf¨¹gt, kann er diesen zwangsweise einer AD-Benutzergruppe mit umfassenden oder privilegierten Berechtigungen hinzuf¨¹gen, was ihm einen tieferen Zugriff auf das Netzwerk erm?glicht.
6. Missbrauch von Active Directory-Berechtigungen
Da AD schwer zu verwalten sein kann, insbesondere f¨¹r ¨¹berlastetes oder unerfahrenes Personal, k?nnen Benutzerrechte innerhalb von AD zu freiz¨¹gig sein oder mehr Zugriffsrechte als n?tig haben, was von Bedrohungsakteuren gezielt ausgenutzt werden kann.
Dies ist keine vollst?ndige Liste, und die Bedrohungsakteure entwickeln immer neue Taktiken, um AD zu infiltrieren und f¨¹r ihre Angriffe zu nutzen, was die Sicherheit von Active Directory noch wichtiger macht.
Ein weiterer Grund, warum Angreifer AD ins Visier nehmen, ist die ?Ausbruchszeit¡°, d. h. die Zeit, die ein Angreifer vom ersten Zugriff bis zur lateralen Bewegung und Eskalation der Privilegien ben?tigt. Diese Zeitspanne wird branchen¨¹bergreifend immer k¨¹rzer, und wenn es erst einmal zu einer Seitw?rtsbewegung kommt, ist es f¨¹r interne Teams schwieriger, die Bedrohung zu erkennen und zu stoppen, vor allem, wenn der Bedrohungsakteur legitime Anmeldedaten verwendet. Active Directory verschafft Bedrohungsakteuren oft unmittelbaren Zugang zu anderen Teilen des Netzwerks, was die Ausbruchszeit beschleunigt und ausgefeiltere Angriffe m?glich macht.
Erfahren Sie, wie Arctic Wolf arbeitet, um Bedrohungen zu erkennen, bevor eine Seitw?rtsbewegung stattfindet
Wie Sie die Sicherheit Ihres Active Directory erh?hen k?nnen
Die St?rkung Ihres Active Directory ist zwar keine einfache, einmalige Aufgabe und erfordert sowohl Zeit als auch Ressourcen, aber die Priorisierung lohnt sich, wenn man bedenkt, wie wichtig AD f¨¹r die gesamte Identit?tsstruktur und Sicherheit Ihres Unternehmens ist.
Es gibt verschiedene M?glichkeiten, AD abzusichern, von allgemeinen bis zu tiefgreifenden technischen und mikroskopischen, aber es gibt f¨¹nf, die alle Unternehmen als erstes implementieren sollten.
1. Aktualisierungen der Passwortrichtlinien
Starke Passw?rter tragen wesentlich dazu bei, Man-in-the-Middle- und passwortbasierte Angriffe zu verhindern. Standardm??ig wird empfohlen, dass ein Passwort mindestens 12 Zeichen lang sein sollte und Buchstaben, Zahlen und Sonderzeichen enth?lt. Dar¨¹ber hinaus sollte eine intensive Schulung der Benutzer durchgef¨¹hrt werden, um die Wichtigkeit der individuellen Passworthygiene hervorzuheben.
2. Zugangskontrolle und Authentifizierung
Die Begrenzung der Angriffsfl?che im Falle eines erfolgreichen Active Directory-Angriffs ist von entscheidender Bedeutung f¨¹r die Minimierung oder Unterbindung von Seitw?rtsbewegungen. Die Multi-Faktor-Authentifizierung (MFA) verhindert den Zugang, selbst wenn ein Passwort gehackt wurde, und andere Zugangskontrollen, wie die Einhaltung von Zero-Trust-Richtlinien oder die Implementierung von Privileged Access Management (PAM), k?nnen verhindern, dass ein Bedrohungsakteur tiefer in das Netzwerk eindringt oder ¨¹berhaupt erst Zugang zu AD und dem Netzwerk erh?lt.
3. Erzwingen einer starken Verschl¨¹sselung in AD
Die Grundeinstellungen in AD bieten nur eine einfache Verschl¨¹sselung. Durch die Versch?rfung der Konfigurationen und das Hinzuf¨¹gen von Verschl¨¹sselungsebenen verringern Sie nicht nur die Wahrscheinlichkeit, dass ein Angreifer Passw?rter knacken kann, sondern verschaffen Ihrem Sicherheitsteam auch Zeit, den ersten Zugriff zu erkennen, bevor es zu einer Seitw?rtsbewegung kommen kann.
4. Audit-Berechtigungen und Dateifreigabe
Sichtbarkeit ist eine wichtige Komponente jeder Sicherheitsstrategie, und das gilt auch f¨¹r AD. Ihr Team sollte in der Lage sein, Sicherheitsgruppen, Pfade der Privilegienerweiterung, Benutzerkontoberechtigungen und potenzielle Angriffspfade zu analysieren. Das Gleiche gilt auch f¨¹r Dateien innerhalb von AD. Dies kann mit BloodHound erreicht werden, einem Tool, das Unternehmen dabei helfen soll, ihre AD abzubilden. Bedrohungsakteure k?nnen BloodHound auch nutzen, um Angriffsmuster oder Schwachstellen zu ermitteln, sobald sie Zugang zu AD haben.
5. 24×7-?berwachung
Das Wissen um ungew?hnliches Verhalten in Echtzeit kann den Unterschied ausmachen, ob eine Bedrohung abgewehrt werden kann oder ein gr??erer Zwischenfall beseitigt werden muss. Es ist wichtig, dass Ihr Unternehmen eine ?berwachungsl?sung einsetzt, vorzugsweise eine wie Arctic Wolf? Managed Detection and Response, die ein Sicherheitsteam bei Erkennungen alarmieren kann, die direkt von AD, aber auch von Identit?ten und anderen Netzwerkquellen stammen.
Diese Liste ist nicht ersch?pfend, und hat viele Ressourcen f¨¹r Organisationen, die Anleitung zum H?rten von Active Directory ben?tigen, insbesondere f¨¹r technische Aspekte wie Netzwerksegmentierung oder Dom?nencontrollerh?rtung.
Entdecken Sie, was Arctic Wolf f¨¹r die Zukunft der Active Directory Sicherheit sieht in unseren Arctic Wolf Labs 2024 Predictions.
Sehen Sie, wie Arctic Wolf einen Active-Directory-Angriff?gestoppt hat, bevor er zu einem vollst?ndigen Ransomware-Vorfall wurde.
