Drucksache: Windows Developer 11.16 - Angriffsziel Active Directory
Im windows.developer 11.16 ist ein Artikel über Angriffe auf Active Directory erschienen.
Active Directory, das ist ja nur ein Verzeichnisdienst. Also so was wie ein Telefonbuch für Windows-Rechner. Das kann ja eigentlich weder besonders gefährdet noch besonders gefährlich sein. Oder?
Die Möglichkeiten von Active Directory gehen weit über eine einfache Auskunftsfunktion hinaus, da zum Beispiel auch die Authentifizierung der Benutzer und die Durchsetzung von Zugriffsbeschränkungen darüber abgewickelt werden. Und damit wird es zu einem interessanten Angriffsziel, und die möglichen Folgen eines erfolgreichen Angriffs können zu einer großen Gefahr für das zugehörige Netz werden.
Es gibt mehrere Möglichkeiten für Angriffe auf Active Directory. Die haben aber aus Angreifersicht einen Nachteil: Sie setzen voraus, dass sich der Angreifer bereits im lokalen Netz befindet. Aber je größer ein Netz ist, desto größer ist auch die Wahrscheinlichkeit dafür, dass irgendeiner der Rechner mit Schadsoftware infiziert ist. Und über die kann dann auch ein Angriff auf Active Directory und speziell Kerberos oder Domain Controller erfolgen.
Es gibt sogar Schadsoftware, die auf die Kompromittierung eines Domain Controllers spezialisiert ist. Zum Beispiel die „Skeleton Key Backdoor“ [18], die sich im Arbeitsspeicher in die Authentifizierung des Domain Controllers einklinkt und dadurch kaum zu entdecken ist. Die Schadsoftware erlaubt es den Angreifern, sich mit einem Master-Passwort überall in der Domäne anzumelden. Die Infektion des Domain Controllers selbst wird bei einem Neustart beendet. Die Cyberkriminellen können die Backdoor aber mit Hilfe ausgespähter Domain-Admin-Accounts von anderen mit Schadsoftware infizierten Rechner im lokalen Netz aus jederzeit neu installieren.
Der Schutz des Active Directory läuft also im Grund auf die altbekannten Maßnahmen hinaus: Systeme härten, sicher konfigurieren und vor Schadsoftware schützen. So lange kein Angreifer ins lokale Netz gelangt, kann er das Active Directory auch nicht angreifen.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "2014 - Das Jahr, in dem die Schwachstellen Namen bekamen"
- [2] Badlock Bug
- [3] Sadlock Bug
- [4] Samba Security Announcement: "CVE-2016-2118 (a.k.a. BADLOCK) - SAMR and LSA man in the middle attacks possible"
- [5] Microsoft Security Bulletin MS16-047: "Security Update for SAM and LSAD Remote Protocols"
- [6] CVE-2016-2118
- [7] CVE-2016-0128
- [8] Alexander Bokovoy; Red Hat Enterprise Linux Blog: "How Badlock Was Discovered and Fixed"
- [9] Sean Metcalf; Black Hat USA 2015: "Red vs. Blue: Modern Active Directory Attacks, Detection, and Protection" (Video auf YouTube)
- [10] Sean Metcalf; DEF CON 23: "Red vs. Blue: Modern Active Directory Attacks & Defense" (Paper als PDF, Video auf YouTube und Video, Untertitel und Text auf https://media.defcon.org/)
- [11] Metasploit Unleashed: "Mimikatz"
- [12] Microsoft KB2871997 - Microsoft Security Advisory: "Update to improve credentials protection and management"
- [13] Microsoft Security Bulletin MS14-068 (Critical): "Vulnerability in Kerberos Could Allow Elevation of Privilege"
- [14] Tal Be'ery, Michael Cherny; Black Hat Europe 2015: "Watching the Watchdog: Protecting Kerberos Authentication with Network Monitoring" (Video auf YouTube)
- [15] Carsten Eilers: "Windows 10 und die Sicherheit"; windows.developer 5.15
- [16] Carsten Eilers: "Microsoft patcht außer der Reihe kritische 0-Day-Schwachstelle in Kerberos"
- [17] Active Directory Security
- [18] Dell SecureWorks Counter Threat Unit™ Threat Intelligence; SecureWorks: "Skeleton Key Malware Analysis"
Trackbacks