Warum Active Directory für Cyberkriminelle so interessant ist

Ist es Angreifern gelungen, ins Active Directory eines Unternehmens einzusteigen, haben sie ein Gateway zum Rest des Netzwerkes geschaffen, das es ihnen letztendlich ermöglicht, sensible Daten abzugreifen und sich Schritt für Schritt höhere Rechte zu verschaffen. Auch für Ransomware-Attacken ist AD aus Sicht der Hacker sehr attraktiv, da Benutzer und Computer auf AD angewiesen sind, um auf verschiedene Netzwerkressourcen zuzugreifen, und Hacker mit der Verschlüsselung bzw. Exfiltration kritischer Daten schnell verheerenden Schaden anrichten können.

Dabei verschlüsselt die Ransomware nicht das Active Directory selbst, sondern nutzt AD, um auf verbundene Hosts und domänenverbundene Systeme zuzugreifen und diese zu verschlüsseln. Zwei beliebte Ransomware-Familien, die auf AD abzielen, sind etwa Lock Bit 2.0 sowie BlackMatter. Bei einem typischen AD-Ransomware-Angriff versuchen die Angreifer, sich Zugang zum Netzwerk zu verschaffen, indem sie nach Anmeldeinformationen fischen, ihre Berechtigungen erweitern und sich vertikal in das Servernetzwerk hineinbewegen. Das Ziel ist es, administrative Zugriffsrechte zu erlangen und einen Domänencontroller zu kompromittieren. Domänencontroller hosten eine Kopie der Active Directory-Domänendienste (AD DS), ein Schema mit allen Objekten, die Active Directory speichert und für die Autorisierungs- und Authentifizierungsdienste bereitgestellt werden. Haben die Angreifer Kontrolle über den Domänencontroller, erhalten sie so Zugang zu sämtlichen Servern und Daten.

4 Tipps zur Reduzierung von Active Directory-Risiken

Ein Grund, warum Cyberkriminelle über AD gefährliche Angriffe starten können, sind verschiedenen Fehlkonfigurationen, die die Angreifer für ihre Zwecke auszunutzen wissen. Um diese zu beseitigen, müssen Sicherheitsteams eine umfassende Active Directory-Sicherheitsstrategie entwickeln, die mehrere Bereiche umfasst. Setzt man die folgenden vier Punkte um, lässt sich das Risiko von AD-Kompromittierungen nachhaltig reduzieren.

1. Vermeiden Sie es, Domänenbenutzer zur Gruppe „Lokaler Administrator“ hinzuzufügen

Fehlkonfigurationen und vernetzte Systeme mit Domian Usern in der Gruppe „Lokaler Administrator“ sind für Hacker ein gefundenes Fressen. Sie nutzen diese, um sich lateral in einem Netzwerk zu fortzubewegen, ihre Rechte zu eskalieren und auf diese Weise sensible Anmeldeinformationen auszuspionieren. Denn ist ein Angreifer in der Lage, sich bei einem Windows-Endpunkt als lokaler Administrator anzumelden, kann er dieses kompromittierte System bzw. Konto als Staging-System nutzen, um darüber Netzwerkänderungen vorzunehmen, die Berechtigungen zum vollständigen Domänenadministrator zu erhöhen und alle Sicherheitseinstellungen zu deaktivieren.

IT-Teams sollten es aus diesem Grund unbedingt vermeiden, Domänenbenutzer von vornherein zur Gruppe „Lokaler Administrator“ hinzuzufügen, und stattdessen Zugriffskontrollen nach dem Least Privilege- bzw. Just-in-Time-Modell umsetzen. Auf diese Weise kann sichergestellt werden, dass den Administratoren erweiterte Rechte streng kontrolliert und nur nach Bedarf gewährt werden. Darüber hinaus ist es unbedingt nötig, kontinuierlich zu scannen, um potenzielle Fehlkonfigurationen frühzeitig zu erkennen und zu beseitigen.

2. Sichern Sie Ihr Remote Desktop-Protokoll ab

Ein weiteres beliebtes Einfallstor von Cyberkriminellen ist das Remote Desktop-Protokoll (RDP). Vor allem seit Beginn der Pandemie und der schlagartig flächendeckenden Remote-Arbeit hat sich die Zahl der Angriffe auf RDP-Systeme vervielfacht. Schuld daran ist vor allem eine schlechte Passworthygiene, die es den Angreifern leicht macht, Anmeldeinformationen für Endpunkte mit dem Remote Desktop Protocol mittels Brute-Force-Attacken zu knacken und sich so vollständigen Zugriff auf ein entferntes System zu verschaffen. Dabei ist es besonders gefährlich, wenn Benutzer dieselben Passwörter sowohl für ihr berufliches Active Directory-Konto auch für andere Accounts und gängige Internetdienste verwenden. Ist es dem Angreifer erst einmal gelungen, sich Fernzugriff auf das System des Opfers zu verschaffen und so in dessen Umgebung Fuß zu fassen, kann er in einem nächsten Schritt einen lateralen Angriff starten und seine Privilegien auf diese Weise weiter erhöhen.

Eine der wirksamsten Methoden, um sich vor Brute-Force-Angriffen auf RDP zu schützen, ist der Einsatz einer starken Multi-Faktor-Authentifizierung sowie spezieller Privileged Access-Sicherheit.

3. Unterbinden Sie eine Vielfachverwendung von Domain Admin Accounts

Eine gefährliche aber oft gesehene Schwachstelle in vielen Active Directory-Umgebungen ist eine Vielfachverwendung von Domain Admin Accounts durch die Systemadministratoren – sei es für Servicekonten, das Einrichten von Fernzugriff auf Systeme oder die Automatisierung von Backups. Das mag zwar bequem sein, ist aber auch ein Einstiegspunkt für Hacker, da es ihnen erleichtert, von lokalen Administrator- zu FULL DOMAIN Admin-Rechten zu gelangen.

Dabei wartet ein Angreifer bis der Domänenadministrator sich bei einem System anmeldet, auf dem er bereits lokale Administratorrechte hat. Anschließend ändert der Hacker die Registrierung auf dem kompromittierten System, das eine zwischengespeicherte Anmeldeinformation im Klartext speichert. Nun wartete er und greift von Zeit zu Zeit per Fernzugriff auf das System zu, um zu prüfen, ob der Domänenadministrator einen Fußabdruck des Kennworts hinterlassen hat, der im Klartext extrahiert werden kann. Da der Angreifer über lokale Administratorrechte verfügt, kann er die Sicherheit auf dem betroffenen System deaktivieren, Mimikatz als privilegierter Benutzer ausführen und ist so in der Lage, das Domain Admin-Passwort im Klartext auszulesen.

Aus diesem Grund ist es wichtig zu verhindern, dass überprivilegierte Benutzer auf allen Systemen über lokale Administratorrechte verfügen. Zudem muss sichergestellt werden, dass die Endpunkt-Anwendungskontrollen im Einsatz sind, um zu unterbinden, dass nicht autorisierte Anwendungen wie Mimikatz ausgeführt werden, selbst wenn ein Angreifer über lokale Administratorrechte verfügt. Ferner sollten die Registrierungseinstellungen stets so geändert werden, dass Angreifer keine Möglichkeit haben, Passwörter im Klartext zu extrahieren.

4. Nutzen Sie Active Directory Bridging

Active Directory Bridging ist eine Funktion, die es Benutzern ermöglicht, mit AD-Anmeldeinformationen auch auf Nicht-Windows-Betriebssysteme zuzugreifen. So kann Active Directory auf diese Weise problemlos mit Linux-, Windows- und Unix-IT-Systemen sowie -Geräten zusammenarbeiten. Hiervon profitiert auch die Sicherheit von AD, denn ein Wildwuchs von lokalen Identitäten wird so eingeschränkt. Indem sich die Benutzer bei allen Systemen mit einer individuellen Active Directory-Identität authentifizieren, reduziert sich die Angriffsfläche erheblich, da weniger Einstiegspunkte für Angreifer geschaffen werden. Gleichzeitig vereinfacht es das Reporting über die Einhaltung von Zugriffsrichtlinien.

Darüber hinaus hilft Bridging bei der Etablierung einer einheitlichen Privileged Access Management (PAM)-Strategie mit zentraler, plattformübergreifender Verwaltung von Zugriffsrichtlinien, Zero-Trust-Zugriff, Berechtigungskontrolle und Identitätskonsolidierung.

Fazit

Active Directory spielt für den sicheren Zugriff auf Systeme und Dateien eine wichtige Rolle, dennoch sind eine mangelhafte Verwaltung sowie Fehlkonfigurationen nach wie vor an der Tagesordnung und machen es Angreifern leicht, sich Zugang zu den kritischen Systemen von Unternehmen zu verschaffen und bösartige Payloads wie Ransomware einzuschleusen. Umso wichtiger ist es, dem privilegierten Zugriff auf Active Directory höchste Priorität einzuräumen und eine Sicherheitsstrategie umzusetzen, die auf einer soliden Risikobewertung des Unternehmens beruht.