Heute noch ein Sicherheitsschnipsel zum Sonntag. Es geht um Active Directory und dessen Administration, samt der Frage, wie jemand, der mal Admin war, quasi eine Art 'Backdoor' hinterlassen kann, über die er sich später selbst wieder zum Administrator machen könnte.
Anzeige
Es ist vor allem ein Infosplitter für Pentester und verantwortliche Administratoren von Active Directory-Umgebungen, die das Problem noch nicht kennen. In Kurz: Ein Administrator entfernt zwar vordergründig sein Konto – gehört also nicht mehr zum Kreis der Administratoren. Aber er führt diesen Schritt so aus, dass er später wieder Zugriff auf die Benutzerverwaltung bekommt und sich selbst zum Administrator hochstufen könnte.
Bei der Kontrolle der Benutzer der Gruppe Administratoren würde so etwas nicht auffallen. Es wäre also so was wie eine unsichtbare Backdoor oder ein Trojaner für Administratoren – eine Technik, die auch Hacker drauf haben, wenn sie ein System kompromittiert haben und für später eine Backdoor benötigen, die nicht auffällt. Ich bin über folgenden Tweet von Kevin Beaumont auf das Thema aufmerksam geworden.
One for red teams and haxxors – great blog by @huykh4 around a new technique to backdoor Active Directory Domain Admins so you can add yourself in at any time later, even when not an admin. Trojan Domain Admin basically. https://t.co/5ZgcEDXLwO
— Kevin Beaumont (@GossiTheDog) 12. Juli 2019
Der Artikel mit den Erklärungen findet sich im Pentest-Magazin Hiding in the Shadows at ''ManagedBy'' Attribute. Vielleicht ist er für den einen oder anderen Administrator aus diesem Umfeld nützlich.
Anzeige
Anzeige
Link "auf Medium" landet in eine 404 :-(
Das scheint gewollt, denn auch alle anderen "Zeiger", die ich finden konnte, führen zu einem 404.
Sorry, der Autor scheint seinen Beitrag auf Medium gelöscht zu haben (möglicherweise ein Konflikt mit einem anderen Medium). Es gibt den Artikel aber noch.
Huy Kha hat den Artikel im Pentest-Magazin veröffentlicht. Ist auch da wieder gelöscht worden. Vergesst das Thema einfach …
Hier und da reichlich konstruiert und schon beim Monitoring gehen hier die Indikatoren zumindest auf gelb, wenn man den Lesezugriff auf das Attribut managed by verdengelt.
In der hiesigen Firma würde es zusätzlich auffallen, da man hier das AD-Attribut zur Generierung von Organigrammen heranzieht, so wie Microsoft es sich dazu z.T. auch gedacht hatte.
Abgesehen davon gibt es zwar diverse Adminrollenkonten, aber die die eigentlich Admins haben für sich selbst jeweils immer nur Standardkonten, auch das würde relativ schnell auffallen.
Abgesehen davon habe ich noch keine Firma erlebt, in der man nicht mit mindestens einem Kollegen meistens sogar 2-3 am letzten aktiven Arbeitstag im Vier-/Sechs-/Acht-Augen-Prinzip alle Benutzer-bezogenen Konten (auch das auf der Firewall zwecks VPN-Einwahl) gelöscht und ausnahmslos allen Administratorkonten, mit denen der ausscheidende Mitarbeiter zu tun hatte, neue ablaufende Kennwörter und/oder Zertifikate vergeben wurden, nicht zuletzt wurde das Mitarbeiter-Tamagotschi aus der Orga entfernt und als Arbeitsmittel natürlich dem Arbeitgeber ordnungsgemäß zurückgegeben. Das ganze Prozedere wurde sogleich schriftlich Protokolliert und auch mit den üblichen Selbstverpflichtungserklärungen garniert von allen Beteiligten unterzeichnet und als ausscheidender Mitarbeiter erhielt man davon zumindest eine Kopie für die eigenen Unterlagen.
Wenn man dann natürlich Mädchen für alles war, kann so ein Protokoll dann schnell mal 12-14 Seiten lang werden.