![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Heute noch ein Sicherheitsschnipsel zum Sonntag. Es geht um Active Directory und dessen Administration, samt der Frage, wie jemand, der mal Admin war, quasi eine Art 'Backdoor' hinterlassen kann, \u00fcber die er sich sp\u00e4ter selbst wieder zum Administrator machen k\u00f6nnte.<\/p>\n
<\/p>\n
Es ist vor allem ein Infosplitter f\u00fcr Pentester und verantwortliche Administratoren von Active Directory-Umgebungen, die das Problem noch nicht kennen. In Kurz: Ein Administrator entfernt zwar vordergr\u00fcndig sein Konto \u2013 geh\u00f6rt also nicht mehr zum Kreis der Administratoren. Aber er f\u00fchrt diesen Schritt so aus, dass er sp\u00e4ter wieder Zugriff auf die Benutzerverwaltung bekommt und sich selbst zum Administrator hochstufen k\u00f6nnte.<\/p>\n
Bei der Kontrolle der Benutzer der Gruppe Administratoren w\u00fcrde so etwas nicht auffallen. Es w\u00e4re also so was wie eine unsichtbare Backdoor oder ein Trojaner f\u00fcr Administratoren \u2013 eine Technik, die auch Hacker drauf haben, wenn sie ein System kompromittiert haben und f\u00fcr sp\u00e4ter eine Backdoor ben\u00f6tigen, die nicht auff\u00e4llt. Ich bin \u00fcber folgenden Tweet von Kevin Beaumont auf das Thema aufmerksam geworden.<\/p>\n
\nOne for red teams and haxxors – great blog by @huykh4 around a new technique to backdoor Active Directory Domain Admins so you can add yourself in at any time later, even when not an admin. Trojan Domain Admin basically. https:\/\/t.co\/5ZgcEDXLwO<\/a><\/p>\n
\u2014 Kevin Beaumont (@GossiTheDog) 12. Juli 2019<\/a><\/p><\/blockquote>\n