Die Sicherung des Active Directory (AD) sollte ein zentrales Element in jeder Sicherheitsstrategie sein, da die Gefährdung eines einzelnen Kontos verheerende Wirkung haben und zu großen Datenverlusten führen kann.
Und auch wenn Angriffe über AD nicht neu sind, so lässt sich seit Monaten ein deutlicher Anstieg dieses Angriffsvektors feststellen. Dies liegt vor allem daran, dass Microsoft als Betriebssystem sehr weit verbreitet ist und AD eine zentrale Position innerhalb der Informationssysteme innehat. Um sich hiergegen erfolgreich verteidigen zu können, muss man zunächst um die Gefahren und Risiken wissen.
Jedes Unternehmen einer gewissen Größe verfügt über unzählige Schlüssel für das Gebäude, die einzelnen Büros, aber auch für die Garage oder gar Tresore. Also um das zu schützen, was schützenswert ist, und Unbefugte draußen zu halten. Um den nötigen, berechtigten Zugang für die Mitarbeiter sicherzustellen, etwa für den Fall, dass der Schlüsselinhaber krank oder im Urlaub ist, werden Ersatzschlüssel an einem zentralen Ort aufbewahrt. Meist handelt es sich dabei um einen speziellen Schlüsselschrank, zu dem nur ein paar besonders vertrauenswürdige Mitarbeiter den Schlüssel haben. Für Einbrecher sind natürlich genau diese ein ausgesprochen interessantes Ziel, bieten sie doch ungehinderten Zugang in alle Bereiche des Unternehmens. Wenn sie also an diesen Schlüsselschrank-Schlüssel gelangen, stehen ihnen buchstäblich alle Türen offen.
In der digitalen Welt sind das Äquivalent dieses Schlüssels die Anmeldeinformationen des Active Directory-Administrators des Unternehmens (man spricht in diesem Zusammenhang nicht ohne Grund vom „goldenen Ticket“). Damit erhalten Angreifer die Möglichkeit, auf alles und jedes im Netzwerk eines Unternehmens zuzugreifen: auf Dateien, Logins, Systemeinstellungen und so weiter. Wie in der realen Welt ist ein solcher Zugriff zwar (noch) selten, aber potenziell katastrophal für ein Unternehmen. Doch auch wenn die Angreifer „nur“ auf einer niedrigeren Ebene Zugriff auf das Active Directory erhalten, können sie sich durch das System arbeiten und ihre Privilegien so lange ausweiten, bis sie schließlich auf eine Goldader treffen. Das Active Directory ist für jeden Schritt in der Cyber-Kill-Kette von der Aufklärung über den Denial-of-Service bis hin zur Datenexfiltration von entscheidender Bedeutung.
Die eigenen Schwächen kennen
Active Directory verwendet Kerberos als primären Authentifizierungsmechanismus. Hierbei verwendet Kerberos Tickets (Ticket Granting Tickets / TGTs), um Benutzer zu authentifizieren. Obwohl Kerberos durch starke Kryptographie und Ticket-Autorisierung durch Dritte einen unglaublich leistungsstarken Schutz bietet, gibt es immer noch eine Reihe von Schwachstellen, die Angreifer ausnutzen können, um auf Active Directory zuzugreifen. Neben dem bereits erwähnten Angriff mit dem „goldenen Ticket“ gibt es noch weitere wirkungsvolle Angriffsmethoden auf das Active Directory wie Pass the Hash, Pass the Ticket oder das „silberne Ticket“. Viele der Schwachstellen von Active Directory sind auf die fast archaische NTLM-Verschlüsselung zurückzuführen, die nach heutigen Standards sehr schwach ist. Beispielsweise nutzen Cyberkriminelle bei Pass the Hash-Angriffen Brute Force-Techniken, um das Passwort eines NTLM-Hashes zu ermitteln und sich damit bei Active Directory zu authentifizieren.
Neben diesen technischen Schwachstellen nutzen Angreifer – wie auch bei anderen Attacken – Social Engineering oder Phishing, um an die wertvollen Anmeldedaten zu gelangen. Und auch wenn die Adressaten als technisch versierte Mitarbeiter sich dieser Gefahren bewusst sind, also durchaus über eine besondere Awareness verfügen, so sind Angreifer auch hier immer wieder erfolgreich. So zeigte Dr. Zinaida Benenson in einer Studie der Friedrich-Alexander-Universität (FAU) Erlangen, dass „mit sorgfältiger Planung und Ausführung jeder dazu gebracht werden kann, solch einen Link anzuklicken, und sei es nur aus Neugier.“
Proaktive Sicherheit
Was kann man also tun, um zu verhindern, dass Cyberkriminelle auf das Active Directory zugreifen und damit die „Schlüssel zum Königreich“ stehlen? Zunächst sollte man sich ein genaues Bild über die Verwendung des Active Directory im Unternehmen machen: Wie sehen die Namenskonventionen aus? Über welche Sicherheitsrichtlinien verfügen wir? Wer sind die Benutzer? Und so weiter. Wissen ist auch hier Macht, und mit diesem Wissen haben Sicherheitsverantwortliche die Macht, Active Directory besser zu schützen.
Eine einmalige Überprüfung reicht dabei jedoch nicht aus. Die entscheidenden Informationen müssen durch regelmäßiges Monitoring auf dem neuesten Stand gehalten werden, damit ungewöhnliche Anmeldungen oder Änderungen (insbesondere auch Privilegien-Eskalationen) erkannt und darauf reagiert werden kann. Eine manuelle Überwachung, die alle wesentlichen Punkte nahezu in Echtzeit umfasst, ist allerdings nahezu unmöglich. Mittels Automatisierung kann jedoch verdächtiges Verhalten schnell identifiziert und ein entsprechender Alarm ausgelöst werden.
Darüber hinaus sollten Sicherheitsverantwortliche in Betracht ziehen, die Domänencontroller auf einem Server zu betreiben, der nicht direkt mit dem Internet verbunden ist. Dies macht es Angreifern deutlich schwerer, sich lateral fortzubewegen und Privilegien zu eskalieren. Das Thema Privilegien ist grundsätzlich ein Schlüsselelement: Unternehmen sollten hier einen Least-Privilege-Ansatz verfolgen. Auf diese Weise erhalten Mitarbeiter nur Zugang zu den Dateien, Ordnern und Diensten, die sie auch tatsächlich für ihre Arbeit benötigen. Auch dies schränkt die Möglichkeiten für Angreifer deutlich ein, da jedes (kompromittierte) Konto in seinen Zugriffsmöglichkeiten eingeschränkt ist.
Mehrschichtiger Sicherheitsansatz
Keine Sicherheitslösung ist unüberwindbar und jede Kette ist so schwach wie ihr schwächstes Glied. Diese Binsenweisheiten gelten selbstverständlich auch für Angriffe auf das Active Directory. Angreifer zielen auch hier auf die Mitarbeiter als vermeintliche Schwachstelle. Entsprechend müssen diese immer wieder geschult und sensibilisiert werden, auch wenn sie (zumindest theoretisch) um die Risiken wissen. Hierbei sollte auch auf die Erstellung sicherer (und vor allem einmaliger) Passwörter sowie die Merkmale eines Phishing-Angriffs eingegangen werden.
Als weitere Verteidigungsebene sollten Systemadministratoren über ein Konto für die tägliche Nutzung und ein Konto speziell für die Durchführung von Systemänderungen verfügen. Solche Administratorkonten sollten auf zugewiesene, genau definierte und begrenzte Systeme beschränkt werden. Dadurch wird verhindert, dass ein kompromittiertes Konto den Angreifern Zugriff auf das gesamte Netzwerk ermöglicht.
Zudem sollten auch technische Lösungen zum Einsatz kommen, die in der Lage sind, verdächtige Änderungen im Active Directory zu erkennen und in Zusammenhang mit anderen Aktivitäten zu setzen, um damit potenzielle Angriffe zu identifizieren und zu stoppen. Active Directory-Angriffe sind oftmals schwer aufzuspüren und bleiben lange unentdeckt. Durch den intelligenten Einsatz von maschinellem Lernen und die Herstellung des richtigen Kontextes kann man ihnen jedoch auf die Spur kommen. Es bedarf eines ganzheitlichen, mehrschichtigen Ansatzes, der von den Mitarbeitern bis zu fortschrittlichen Technologien reicht, um sicherstellen, dass Cyberkriminelle bei ihren Bemühungen, auf das Active Directory zuzugreifen, nicht auf Gold stoßen.
Michael Scheffler, Country Manager DACH von Varonis Systems www.varonis.com/de/