{"id":270852,"date":"2022-07-24T00:04:00","date_gmt":"2022-07-23T22:04:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=270852"},"modified":"2023-04-24T12:11:12","modified_gmt":"2023-04-24T10:11:12","slug":"ad-sicherheit-auf-dem-prfstand","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/07\/24\/ad-sicherheit-auf-dem-prfstand\/","title":{"rendered":"AD-Sicherheit auf dem Prüfstand"},"content":{"rendered":"

\"SicherheitNoch ein Sonntagsthema f\u00fcr Administratoren, die f\u00fcr die Verwendung eines Microsoft Active Directory (AD)<\/i> im Unternehmen verantwortlich zeichnen. Ger\u00fcchteweise h\u00f6rt man, dass sich viele Unternehmen im Gesch\u00e4ftsbetrieb mit ihrer IT auf Microsofts AD verlassen. Das Zeugs ist seit 20 Jahren auf dem Markt und ist wohl auch recht zuverl\u00e4ssig. Nur wie steht es mit der Sicherheit? Laut Sicherheitsanbieter Semperis birgt die 20 Jahre alte AD-Technologie einige Security-Herausforderungen.<\/p>\n

<\/p>\n

\"\"Ich fand die Perspektive, die Sean Deuby, Director of Services bei Semperis, eingenommen hat, ganz spannend. In einem Beitrag best\u00e4tigt er zwar, dass Active Directory lange Zeit problemlos seinen Dienst in der IT vieler Unternehmen verrichtete. Aber nun weist Sean Deuby darauf hin, dass das AD in einem Netzwerk jetzt zunehmend aus der Sicherheitsperspektive in den Fokus r\u00fcckt. Wenn ich hier \u00fcber Sicherheitsvorf\u00e4lle blogge, in denen etwas mehr \u00fcber den Angriffsvektor bekannt wird, kommt oft das Thema \"Kompromittierung des Active Directory\" auf.<\/p>\n

Denn ein AD ist im Wesentlichen das Gateway, das Mitarbeiter mit ihren Ressourcen (wie etwa E-Mail oder Netzwerkdateifreigaben) im Unternehmensnetzwerk verbindet. Administratoren nutzen AD, um die Berechtigungen der einzelnen Benutzer zu verwalten, sie bei der Anmeldung zu authentifizieren und festzulegen, auf welche Ressourcen sie zugreifen k\u00f6nnen. Dies hat viele Vorteile. AD ist einfach zu verwenden, existiert seit vielen Jahren und ist sehr zuverl\u00e4ssig.<\/p>\n

Der Haken: Gelingt ein Angriff auf das AD, kann der Angreifer diese Berechtigungen f\u00fcr eigene Zwecke missbrauchen – was ja inzwischen bei Sicherheitsvorf\u00e4llen h\u00e4ufig beobachtet werden kann. Viele Unternehmen sind sich bisher jedoch nicht den per AD verbundenen Sicherheitsrisiken bewusst.<\/p>\n

AD als Probleml\u00f6sung<\/h2>\n

Dazu zeichnet Sean Deuby, die Historie nach. Vor der Einf\u00fchrung von AD im Jahr 2000 waren die IT-Directory-Server von Microsoft nicht in dem Ma\u00dfe skalierbar, dass sie die Anforderungen mittlerer und gro\u00dfer Unternehmen erf\u00fcllen konnten, so dass viele Server erforderlich waren. Ein Unternehmen mit etwa 1.000 Mitarbeitern ben\u00f6tigte mitunter 200 Server. Dies stellte f\u00fcr die Unternehmen ein gro\u00dfes Problem dar. Dies lag nicht nur daran, dass all diese einzelnen Server schwer zu verwalten waren, da jeder einzelne eindeutige Zugangsdaten erforderte. Zudem waren auch Aktivit\u00e4ten wie die gemeinsame Nutzung von Dateien erschwert, da diese nicht ohne weiteres miteinander kommunizieren konnten.<\/p>\n

AD l\u00f6ste diese Herausforderung. Durch die einfache Integration in Anwendungen und die Bereitstellung von Single Sign-On-Funktionen f\u00fcr die gesamte Unternehmensumgebung ver\u00e4nderte es das Netzwerkerlebnis und wurde schnell allgegenw\u00e4rtig. Seine Verbreitung hat sich in den letzten zwei Jahrzehnten nicht ver\u00e4ndert. Diese fast ein Vierteljahrhundert alte Technologie ist heute wichtiger denn, bildet sie doch die Grundlage f\u00fcr die meisten Cloud-Identit\u00e4tssysteme, die von Unternehmen auf der ganzen Welt eingesetzt werden. Obwohl AD f\u00fcr die meisten Unternehmen weltweit immer noch unverzichtbar ist, hat es sich auch zu einem Sicherheitsproblem entwickelt.<\/p>\n

Warum AD heute ein Problem ist<\/h2>\n

AD ist aus mehreren Gr\u00fcnden angreifbar. Erstens wurde es nicht f\u00fcr den Umgang mit komplexen Sicherheitsbedrohungen konzipiert. Es wurde in einer Zeit entwickelt, als es noch keine Ransomware, keine ausgekl\u00fcgelten, von Staaten unterst\u00fctzten Cyberattacken und keine weit verbreitete Nutzung von Cloud-Computing gab. Es handelt sich um eine Technologie aus einer anderen Zeit \u2013 und deshalb kann sie vielen der modernen Bedrohungen, mit denen wir heute konfrontiert sind, nicht wirksam begegnen.<\/p>\n

Zweitens wurde AD als offenes System konzipiert, um die Nutzung zu erleichtern. Es vertraut den in einem Netzwerk angemeldeten Benutzern, um ein nahtloses Benutzererlebnis zu erm\u00f6glichen. Genau diese Offenheit ist heute jedoch eine schwierige Herausforderung f\u00fcr Verteidiger, da sie erfolgreichen Eindringlingen nur wenige Hindernisse in den Weg stellt.<\/p>\n

Drittens bedeutet das Alter des Netzes, dass es in vielen F\u00e4llen \u00fcber 20 Jahre lang schlechte Sicherheitsentscheidungen gab, die urspr\u00fcnglich aus Gr\u00fcnden der Zweckm\u00e4\u00dfigkeit getroffen wurden. Diese haben sich zu einem massiven Angriffsziel angesammelt, das selbst Amateure bew\u00e4ltigen k\u00f6nnen.<\/p>\n

Aus diesen Gr\u00fcnden sind etwa 90 Prozent aller Unternehmen<\/a> Sicherheitsverletzungen ausgesetzt, die auf AD-Schwachstellen zur\u00fcckzuf\u00fchren sind, und neun von zehn aller Cyberangriffe<\/a> betreffen in irgendeiner Form das AD. Solche Statistiken sind nicht gerade beruhigend, ebenso wie die Einfachheit der Angriffsmethoden, mit denen AD ins Visier genommen wird. Der typische Angriffsprozess erfolgt schrittweise:<\/p>\n

    \n
  1. Angreifer kompromittieren einen PC durch Phishing. Sie senden betr\u00fcgerische E-Mails, die darauf abzielen, Benutzer dazu zu bringen, vertrauliche Informationen preiszugeben, z. B. ihre Zugangsdaten f\u00fcr AD.<\/li>\n
  2. Ein Angreifer versucht dann daran, Privilegien auf einem lokalen Rechner zu erhalten. Angreifer k\u00f6nnen ihre Berechtigungen auf dem Rechner auf verschiedene Weise erh\u00f6hen und dabei Schwachstellen des Ger\u00e4ts ausnutzen.<\/li>\n
  3. Sie nutzen dabei AD, um andere Ger\u00e4te zu finden und alle in diesem Netzwerk angeschlossenen und genutzten Ger\u00e4te zu erfassen.<\/li>\n
  4. Als n\u00e4chstes nehmen sie weitere Ger\u00e4te ins Visier. Von hier aus bewegen sie sich in einem Netzwerk und f\u00fchren schwer zu entdeckende Erkundungen durch, indem sie viele Computer angreifen, um einen zu finden, der \u00fcber AD-Administratorrechte verf\u00fcgt.<\/li>\n
  5. Schlie\u00dflich verschaffen sie sich Zugang zu den Anmeldeinformationen eines privilegierten oder administrativen Kontos. Sobald sie diese haben, haben sie die volle Kontrolle \u00fcber AD \u2013 und alles, was davon abh\u00e4ngt.<\/li>\n<\/ol>\n

    Ein Beispiel f\u00fcr einen beliebten AD-Angriff ist der so genannte \u201eGolden Ticket\"-Angriff. Bekannt ist das goldene Ticket aus dem Roman \u201eCharlie und die Schokoladenfabrik\" von Roald Dahl. In der digitalen Welt bieten diese goldenen Eintrittskarten ebenfalls Zugang zur IT-Umgebung eines Unternehmens. Ein Golden-Ticket-Angriff verschafft Bedrohungsakteuren ungehinderten Zugang zu Netzwerkressourcen und die M\u00f6glichkeit, sich unbegrenzt in Netzwerken aufzuhalten, getarnt als berechtigte Benutzer mit Administratorrechten.<\/p>\n

    Umfang der Bedrohung<\/h2>\n

    AD ist nicht nur deshalb ein Problem, weil es leicht anzugreifen ist, auch die Profite f\u00fcr Angreifer sind betr\u00e4chtlich. AD ist im Grunde der Schl\u00fcssel zum K\u00f6nigreich. AD ist wie ein Safe, in dem ein Unternehmen die physischen Schl\u00fcssel f\u00fcr die B\u00fcros aufbewahrt. Es ist der zentrale Knotenpunkt f\u00fcr den Zugriff auf die kritischen Systeme, also Computer, Softwareanwendungen und andere Ressourcen.<\/p>\n

    Diese Angriffsweise ist gef\u00e4hrlich, weil sie sowohl einfach als auch lukrativ ist. Im Jahr 2021 zahlten Unternehmen L\u00f6segelder von bis zu 40 Millionen US-Dollar, um wieder Zugang zum Netzwerk zu erhalten. Gleichzeitig werden die Einstiegsh\u00fcrden f\u00fcr Angreifer immer niedriger. Dank des boomenden Marktes f\u00fcr Ransomware-as-a-Service (RaaS) m\u00fcssen sie nicht mehr technisch versiert sein. Stattdessen kaufen sie einfach Tools und Dienstleistungen von den Profis. Dies ist ein verheerender Kreislauf. Der Profit f\u00fcr Angreifer steigt, w\u00e4hrend die erforderlichen technischen Kenntnisse immer weiter sinken, wodurch sich die Angriffslandschaft exponentiell erweitert.<\/p>\n

    Es ist daher leicht zu verstehen, warum die Ransomware-Studie 2021 von International Data Corporation k\u00fcrzlich ergab, dass mehr als ein Drittel (37 Prozent) der weltweiten Unternehmen im Jahr 2021 Opfer eines Ransomware-Angriffs sein werden. In der Tat stehen die Chancen eindeutig zugunsten der Angreifer.<\/p>\n

    Wie k\u00f6nnen Unternehmen darauf reagieren?<\/h2>\n

    Unternehmen m\u00fcssen reagieren, um diese Bedrohungsflut zu stoppen. Um ihre Schwachstellen zu minimieren, m\u00fcssen sie zun\u00e4chst wissen, wo sie verwundbar sind. F\u00fcr viele Unternehmen kann sich der Versuch, dieses Verst\u00e4ndnis zu erlangen, \u00fcberw\u00e4ltigend anf\u00fchlen. Dies gilt besonders f\u00fcr diejenigen, die wenig oder gar keine Kenntnisse im Bereich der Cybersicherheit haben. Es gibt L\u00f6sungen und die richtige Unterst\u00fctzung, die dabei helfen.<\/p>\n

    Purple Knight, ein kostenloses Tool zur Sicherheitsbewertung von Active Directory, ist ein guter Ausgangspunkt. Entwickelt und verwaltet von einer f\u00fchrenden Gruppe von Microsoft-Identit\u00e4tsexperten, kann es dabei helfen, Schwachstellen in Active Directory zu erkennen, bevor Angreifer sie finden. Es zeigt zudem allgemeine Schwachstellen auf, die behoben werden sollten.<\/p>\n

    Im aktuellen Purple Knight Report wird eine ganze Reihe potenzieller Schwachstellen aufgelistet. F\u00fcr den Anfang sind jedoch einige g\u00e4ngige Beispiele zu nennen:<\/p>\n