Sergey Nivens - stock.adobe.com
Cyberattacken aufs Active Directory eindämmen
Das Active Directory ist verstärkt ins Visier von Kriminellen geraten und Angriffe auf den Verzeichnisdienst häufen sich. Zugriffskontrollen können die Angriffsketten durchbrechen.
Angriffe auf Active Directory (AD) starten in der Regel mit kompromittierten privilegierten Anmeldedaten. Indem sie sich als legitime Nutzer beziehungsweise vertrauenswürdige Mitarbeitende oder Partner ausgeben, sind Angreifer in der Lage, zunächst unter dem Radar zu fliegen und ihre Verweildauer zu maximieren. Je länger sie dabei unentdeckt und ungestört agieren können, desto wahrscheinlicher ist es, dass die von ihnen beabsichtigte Kompromittierung des Active Directory erfolgreich ist.
Eine Standardmethode zur Erlangung von legitimen Anmeldedaten ist dabei Phishing. Ein einziger unbedarfter Klick auf den Link in einer Betrugs-E-Mail reicht dabei aus, um automatisch Malware auf einem Arbeitsplatz zu installieren. Ist der betroffenen Benutzer als lokaler Administrator angemeldet – was nicht selten der Fall ist –, wird die Malware mit lokalen Administratorrechten ausgeführt, was dem Angreifer die volle Kontrolle über den Arbeitsplatz gewährt. Nun reichen frei zugänglichen Tools wie Mimikatz, um in nur zwei Schritten die vollen Domänenrechte zu erlangen.
Wurde eine Workstation kompromittiert, kann der Angreifer nun vertikal von dieser auf einen Server wechseln und anschließend lateral von Server zu Server springen, um sich als Domänenadministrator oder Enterprise-Administrator Zugriff auf AD zu sichern. An diesem Punkt ist es dem Cyberangreifer schließlich gelungen, die vollständige Kontrolle über AD zu erlangen.
Darum ist ein Angriff auf Active Directory so gefährlich
Die Auswirkungen hiervon sind dramatisch: Ab sofort kann der Hacker auf sämtliche privilegierte AD-Benutzer- und Computerkonten aber auch Sicherheitsgruppen, Gruppenrichtlinien, Security-Richtlinien oder Vertrauensbeziehungen zugreifen.
Konkret bedeutet dies, dass er sich von nun an als beliebige Person authentifizieren kann, auch als CEO, und zudem in der Lage ist, auf alle Daten auf wirklich jedem Server mit Domänenanschluss zuzugreifen, sie zu exfiltrieren oder zu löschen – einschließlich aller Online-Backups. Ein cleverer Cyberkrimineller wird zudem Hintertüren einbauen, um nach einer Wiederherstellung erneut die Kontrolle erlangen zu können.
Bedenkt man, dass die Hauptmotivation vieler Cyberkrimineller nach wie vor ein finanzieller Gewinn ist, wie auch der 2022 Verizon Data Breach Investigation Report wieder gezeigt hat, können betroffene Unternehmen fest davon ausgehen, dass geleakte Informationen binnen kürzester Zeit im Dark Web zum Verkauf angeboten werden oder Geldforderungen für die Wiederherstellung verschlüsselter Daten eingehen.
Wie sich AD-Angriffsketten durchbrechen lassen
Verlassen sich Security-Teams auf die systemeigene Sicherheit von Server-Betriebssystemen, um AD-Kompromittierungen zu verhindern, werden sie früher oder später Schiffbruch erleiden. Tatsache ist, dass lokale und für die Domäne freigegebene privilegierte Konten und Gruppen bewährten Security-Verfahren wie Zero-Trust entgegenstehen und die Angriffsfläche stark vergrößern. Systemeigene Zugriffskontrollregeln und -richtlinien sind in der Regel nicht nur kompliziert, sondern vor allem nicht ausreichend granular, um den Zugriff und die Privilegien an die jeweiligen Rollen und Aufgaben der Benutzer anzupassen.
„Verlassen sich Security-Teams auf die systemeigene Sicherheit von Server-Betriebssystemen, um AD-Kompromittierungen zu verhindern, werden sie früher oder später Schiffbruch erleiden.“
Andreas Müller, Delinea
Sollen AD-Angriffsketten rechtzeitig unterbrochen werden, egal ob an den Workstations am Netzwerk-Edge oder am AD-Domänencontroller-Server im Inneren, müssen Unternehmen die Messlatte, was Benutzervalidierung, Authentifizierung, Autorisierung und Auditing angeht, höherlegen. Dies gelingt am effizientesten mit der Umsetzung eines umfangreichen Privileged Access Management (PAM) auf Server-Level. PAM legt den Cyberkriminellen zusätzliche Hürden in den Weg und zwingt sie so, den anvisierten Kurs zu ändern. Dadurch verschwenden sie einerseits Zeit und erzeugen andererseits mehr Lärm, was die Chancen ihrer Entdeckung erhöht.
Folgende PAM-Funktionen stören die Angreifer an ihrem bewährten Vorgehen:
Betrugssichere Verifikation von Logins. Nur weil ein User eine legitime ID inklusive Passwort vorlegt, bedeutet das nicht, dass er auch der rechtmäßige Besitzer dieser Anmeldeinformationen ist oder dazu autorisiert ist, sich bei diesem bestimmten Server anzumelden. Auch ist dies kein Garant, dass tatsächlich ein Mensch an der Tastatur sitzt und nicht etwa ein Bot. PAM validiert Anmeldeinformationen anhand verschiedener On-Premises- oder Cloud-Identitätsanbieter, wie OpenLDAP, Ping, Azure AD und Okta, und ermöglicht es den Security-Verantwortlichen, angemessene Richtlinien zu definieren, die die entsprechenden Berechtigungen für eine Anmeldung diktieren.
Phishing-resistente MFA. Des Weiteren stellt PAM stellt sicher, dass ein Benutzer die Legitimität der vorgelegten Anmeldedaten mit mindestens einem weiteren Faktor bestätigt. Bots und Malware können so unmittelbar gestoppt und menschliche Angreifer dazu gezwungen werden, zu einer anderen Taktik auszuweichen. Für den Schutz besonders sensibler Daten empfiehlt sich der Einsatz Phishing-resistenter MFA, wie sie etwa ein FIDO2-Authentifikator bietet.
Kontextabfragen für erweiterte Rechte. Für besonders sensible Systeme ermöglichen die meisten PAM-Lösungen explizite Zugriffsanfrage mit Kontext. Das kann etwa eine Helpdesk-Ticketnummer sein. Der Verantwortliche kann der Anfrage dann unmittelbar stattgeben, diese ablehnen oder aber das Sicherheitsteam alarmieren, um einen möglichen Angriff zu untersuchen.
Just-in-Time-Zugriff und Zero Standing Privileges (ZSP). PAM versetzt Security-Teams in die Lage, unnötige privilegierte Shared-Accounts zu eliminieren und die übrig gebliebenen angemessen zu verwalten. Zudem können kurzlebige Accounts und Token umgesetzt werden, um unbegrenzte – und damit riskante – Rechte soweit es geht zu reduzieren. Indem die PAM-Lösung einem Least-Privilege-Prinzip folgt und für viele kritische Zugriffe einen Just-in-Time-Workflow durchsetzt, wird sichergestellt, dass Rechte nur bei Bedarf und zudem zeitlich begrenzt gewährt werden. So wird die Angriffsfläche von Unternehmen nachhaltig minimiert, auch weil einzelne kompromittierte Konten für Angreifer zur Sackgasse werden und Seitwärtsbewegungen nicht mehr möglich sind.
Moderne PAM-Lösungen ergänzen statische Zugriffskontrollregeln dabei nicht selten durch dynamische Verhaltensanalysen, um auch laufende Angriffe schnell zu identifizieren. Denn anders als statische Richtlinien, die auf menschliche und damit manuelle Pflege angewiesen und daher fehleranfällig sind, kann maschinelles Lernen das Verhalten eines Angreifers problemlos und automatisch von dem des legitimen Users unterscheiden.
Auditing und Sitzungsaufzeichnung. Bei der Untersuchung eines Vorfalls ist die Zeit von entscheidender Bedeutung. Modernes PAM bietet daher forensische Audits und Sitzungsaufzeichnungen, die die Ursachenanalyse beschleunigen. In Verbindung mit der oben beschriebenen Verhaltensanalyse erhalten Sicherheitsverantwortliche so die nötige Zeit, um zu verhindern, dass ein Vorfall zu einer größeren Sicherheitsverletzung wird.
Active Directory ist für Cyberkriminelle ein beliebter Startpunkt für Cyberangriffe. Das liegt einerseits an der Tatsache, dass sie sich über eine AD-Kompromittierung schnell ein Gateway zum Rest des Netzwerkes schaffen können, und andererseits an den fehlenden Schutzmaßnahmen. Mit PAM können Security-Verantwortliche den Angreifern jedoch entsprechend große Hindernisse in den Weg stellen, die sie zum Aufgaben zwingen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.