{"id":326501,"date":"2026-06-22T00:04:17","date_gmt":"2026-06-21T22:04:17","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=326501"},"modified":"2026-06-19T10:33:20","modified_gmt":"2026-06-19T08:33:20","slug":"drei-active-directory-fehlkonfigurationen-die-angreifern-ihre-domaene-ausliefern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/06\/22\/drei-active-directory-fehlkonfigurationen-die-angreifern-ihre-domaene-ausliefern\/","title":{"rendered":"Drei Active-Directory-Fehlkonfigurationen, die Angreifern Ihre Dom\u00e4ne ausliefern"},"content":{"rendered":"

\"HolmWerbung<\/em> \u2013 Fehlkonfigurationen im Active-Directory k\u00f6nnen Angreifern eine Dom\u00e4ne ausliefern. Mihail Lupan, Head of Security Research, bei Holm Security zeigt drei solcher riskanten Fehlkonfigurationen.<\/p>\n

<\/p>\n

Bei einem Active Directory-Sicherheitsvorfall denkt man zuerst an einen Exploit: beispielsweise einen Zero-Day, einen ungepatchten Server, ein raffiniertes St\u00fcck Schadsoftware. Die Realit\u00e4t kann im Active Directory aber wesentlich unspektakul\u00e4rer und gef\u00e4hrlicher daherkommen. Die meisten Kompromittierungen einer Dom\u00e4ne beginnen nicht mit einem Exploit.<\/p>\n

Sie beginnen mit einer AD-Einstellung, die vor Jahren jemand so belassen hat, die niemand mehr im Blick hat und die einem Angreifer ganz unauff\u00e4llig genau das gibt, was er braucht. Nachfolgend werden drei dieser Einstellungen genannt, keine ist exotisch. Sie finden sich in einem gro\u00dfen Teil der Active Directory-Umgebungen, die wir von Holm Security pr\u00fcfen. Und jede dieser AD-Einstellungen kann einen Angreifer von einem gew\u00f6hnlichen Dom\u00e4nenkonto bis zur vollst\u00e4ndigen Kontrolle \u00fcber die Dom\u00e4ne bringen.<\/p>\n

Das ist am Ende des Tages kein Threat Hunting, sondern simple Konfigurationsarbeit! Ein Wort dazu, aus welcher Perspektive ich schreibe. Holm Security ist ein europ\u00e4ischer
\nAnbieter f\u00fcr Exposure- und Schwachstellenmanagement. Die Plattform wird vollst\u00e4ndig in der EU gehostet und betrieben. Dieser Umstand wiegt heute schwerer als fr\u00fcher: Mit NIS2 und DORA wird Identit\u00e4tshygiene von einer guten Praxis zu einer dokumentierten Pflicht, und europ\u00e4ische Kunden achten zunehmend darauf, wo ihre Sicherheitswerkzeuge entwickelt werden und wo ihre Daten liegen.<\/p>\n

Drei Active-Directory-Fehlkonfigurationen<\/h2>\n

Wir haben k\u00fcrzlich bei Holm Security die kontinuierliche Active-Directory-Bewertung<\/a>\u00a0in die Plattform aufgenommen, was den Ansto\u00df zu diesem Beitrag gab. Die drei
\nnachfolgenden Punkte sind allerdings herstellerunabh\u00e4ngig und unabh\u00e4ngig davon relevant, was Sie einsetzen.<\/p>\n

1. Das krbtgt-Passwort, das niemand jemals \u00e4ndert<\/h3>\n

Jede Active-Directory-Dom\u00e4ne hat ein Dienstkonto namens krbtgt.<\/em> Dessen Passwort-Hash verschl\u00fcsselt jedes Ticket Granting Ticket (TGT) in der Dom\u00e4ne. Extrahiert ein Angreifer, der bereits Dom\u00e4nenadministrator-Rechte erlangt hat, diesen Hash, kann er Tickets f\u00fcr beliebige Benutzer mit beliebigen Rechten f\u00e4lschen. Dies sind g\u00fcltig so lange der Angreifer dies m\u00f6chte. Das ist der Golden-Ticket-Angriff, und die gef\u00e4lschten Tickets funktionieren selbst dann weiter, wenn Sie jedes Administrator-Passwort in der Dom\u00e4ne zur\u00fccksetzen.<\/p>\n

F\u00fcr die H\u00e4rtung entscheidend ist die Behebung. Das krbtgt-Passwort<\/em> wird nicht automatisch ge\u00e4ndert. In vielen Dom\u00e4nen hat es sich seit der Einrichtung der Dom\u00e4ne nicht ge\u00e4ndert, mitunter seit \u00fcber einem Jahrzehnt. Das Konto f\u00fchrt eine Historie der letzten beiden Passw\u00f6rter, daher muss es zweimal zur\u00fcckgesetzt werden, um alte Tickets vollst\u00e4ndig ung\u00fcltig zu machen, mit gen\u00fcgend Zeit zwischen den Zur\u00fccksetzungen, damit alle Dom\u00e4nencontroller replizieren k\u00f6nnen. Sowohl Microsoft als auch die CISA dokumentieren dies. Jemand muss schlicht daran denken, es korrekt und nach einem festen Zeitplan durchzuf\u00fchren und zu pr\u00fcfen, dass das Alter nicht abgedriftet ist. Das ist der Unterschied zwischen einer Ma\u00dfnahme auf dem Papier und einer, die tats\u00e4chlich greift.<\/p>\n

2. Das Passwort, dessen Entschl\u00fcsselungsschl\u00fcssel Microsoft ver\u00f6ffentlicht hat<\/h3>\n

Diese Sache \u00fcberrascht noch immer viele Administratoren. Jahrelang verwendeten Administratoren die Gruppenrichtlinieneinstellungen (Group Policy Preferences), um Passw\u00f6rter lokaler Konten, verbundene Laufwerke und geplante Aufgaben dom\u00e4nenweit auszurollen. Diese Einstellungen wurden in XML-Dateien im SYSVOL gespeichert, in einem Feld namens cpassword,<\/em> verschl\u00fcsselt mit AES.<\/p>\n

Das Problem: Microsoft hat den AES-Schl\u00fcssel, mit dem diese Passw\u00f6rter verschl\u00fcsselt
\nwurden, in seiner eigenen \u00f6ffentlichen Dokumentation ver\u00f6ffentlicht. SYSVOL ist f\u00fcr jeden authentifizierten Benutzer in der Dom\u00e4ne lesbar. Jedes gew\u00f6hnliche Konto kann also das SYSVOL durchsuchen, einen cpassword-Wert<\/em> finden und ihn mit einem frei verf\u00fcgbaren Schl\u00fcssel entschl\u00fcsseln, mithilfe von Werkzeugen, die seit Jahren in g\u00e4ngigen Penetrationstest-Kits enthalten sind. Microsoft selbst hat den Missbrauch der Gruppenrichtlinieneinstellungen als eine der h\u00e4ufigsten Methoden bezeichnet, mit denen Angreifer ihre Rechte innerhalb einer Dom\u00e4ne ausweiten.<\/p>\n

Microsoft hat 2014 mit MS14-025<\/a> die M\u00f6glichkeit entfernt, neue GPP-Passw\u00f6rter anzulegen. Doch hier ist der Punkt, der gerne \u00fcbersehen wird: Der Patch verhinderte neue Eintr\u00e4ge, entfernte aber nie die bereits im SYSVOL vorhandenen XML-Dateien. Sie bleiben dort, bis jemand sie l\u00f6scht. Wir finden sie noch heute in Umgebungen, die vor einem Jahrzehnt gepatcht wurden, weil niemand zur\u00fcckgegangen ist, um aufzur\u00e4umen, was der Patch hinterlassen hat.\u00a0Von Hand bedeutet das, das SYSVOL auf jedem Dom\u00e4nencontroller nach alten XML-Dateien zu durchsuchen und jede einzelne zu pr\u00fcfen, nach einem Zeitplan, den jemand einhalten muss.<\/p>\n

3. Die Zertifikatvorlage, die im Stillen Dom\u00e4nenadministrator-Rechte bedeutet<\/h3>\n

Die dritte ist moderner und aus meiner Sicht die am meisten untersch\u00e4tzte. Die Active Directory-Zertifikatdienste (ADCS) sind Microsofts Zertifizierungsstelle und laufen in einem gro\u00dfen Teil der Unternehmensumgebungen. Sie sind zugleich sehr h\u00e4ufig fehlkonfiguriert.<\/p>\n

Der bekannteste Fall wird von Sicherheitsforschern als ESC1 bezeichnete. Er tritt auf, wenn eine Zertifikatvorlage es einem Benutzer mit geringen Rechten erlaubt, ein Zertifikat
\nanzufordern, eine beliebige Identit\u00e4t im Subject Alternative Name anzugeben und dieses
\nZertifikat zur Authentifizierung zu verwenden. Konkret: Ist die Vorlage so konfiguriert, kann ein gew\u00f6hnlicher Dom\u00e4nenbenutzer ein Zertifikat anfordern, das den Dom\u00e4nenadministrator als Subjekt nennt, und anschlie\u00dfend versuchen, sich als Dom\u00e4nenadministrator anzumelden. Kein Exploit, keine Schadsoftware, nur eine Zertifikatanforderung gegen eine Vorlage, die seit Jahren in der Umgebung schlummert. ESC1 wurde in realen Angriffen eingesetzt, unter anderem von APT29.<\/p>\n

Wer Windows administriert, kennt den Rest der Geschichte, denn sie war eines der gr\u00f6\u00dferen Patch-Management-\u00c4rgernisse der letzten drei Jahre. Microsoft f\u00fchrte mit KB5014754<\/a> im Mai 2022 die starke Zertifikatzuordnung ein<\/a> und bettet seither die Sicherheitskennung (SID) des Anforderers in ausgestellte Zertifikate ein, sodass ein Dom\u00e4nencontroller best\u00e4tigen kann, dass ein Zertifikat tats\u00e4chlich zu dem Konto geh\u00f6rt, das es vorgibt. Die schwache, namensbasierte Zuordnung wird seitdem schrittweise abgeschafft: Die vollst\u00e4ndige Erzwingung wurde im Februar 2025 zum Standard, und seit September 2025 gibt es keine M\u00f6glichkeit mehr, sie zu umgehen. Auf einer vollst\u00e4ndig gepatchten Dom\u00e4ne mit erzwungener Zuordnung funktioniert die naive Variante von ESC1 nicht mehr ohne Weiteres.<\/p>\n

Warum steht das dann noch auf meiner Liste? Weil die Erzwingung einen
\nAuthentifizierungsweg schlie\u00dft, nicht aber das zugrunde liegende Problem. Die fehlkonfigurierte Vorlage ist weiterhin vorhanden. Die starke Zuordnung behebt keine \u00fcberprivilegierte PKI, macht keine vor der Erzwingung ausgestellten Zertifikate r\u00fcckg\u00e4ngig und \u00e4ndert nichts an den \u00fcbrigen Wegen derselben Familie (ESC2 bis ESC16, Tendenz steigend), von denen mehrere nicht auf dem SAN-Trick beruhen, den sie adressiert. Microsoft hat die H\u00fcrde deutlich h\u00f6her gelegt, doch eine wuchernde, nie gepr\u00fcfte Zertifizierungsstelle bleibt eine der ergiebigsten Angriffsfl\u00e4chen f\u00fcr Rechteausweitung in einer modernen Dom\u00e4ne. Die Vorlage ist die Exposure,
\nund den Status Ihrer Erzwingung sollten Sie \u00fcberpr\u00fcfen, nicht voraussetzen. \u00c4ltere H\u00e4rtungs-Checklisten ber\u00fchren all dies kaum, weil die Angriffsklasse jung ist und sich schnell weiterentwickelt.<\/p>\n

Warum das f\u00fcr das Schwachstellen- und Exposure-Management wichtig ist<\/h3>\n

Keine dieser drei Fehlkonfigurationen besitzt eine CVE-Nummer. Es gibt keinen Patch, den man einspielen, keine Versionsnummer, der man hinterherjagen k\u00f6nnte. Es sind Konfigurations-Baselines, und genau deshalb halten sie sich: Ein Scanner, der nach fehlenden Patches sucht, l\u00e4uft an allen dreien vorbei. Es sind keine Fehler in der Software, sondern Entscheidungen, vor Jahren getroffen und von niemandem je wieder hinterfragt. Rund neun von zehn gro\u00dfen Organisationen betreiben Active Directory, die Rechte, die es verwaltet, sind der Schl\u00fcssel zu allem, und was darin schiefgeht, ist selten das, was ein Patch-Zyklus erfasst.<\/p>\n

\"AD<\/a>
\nAD Certificate Template Missing Security Extension<\/em><\/p>\n

Deshalb haben wir Active Directory Security als kontinuierliche, geplante Bewertung in die
\nPlattform integriert und nicht als einmaliges Audit. Konfigurationen driften st\u00e4ndig, wenn
\nAdministratoren Konten anlegen, Software ausrollen und Richtlinien \u00e4ndern. Ein viertelj\u00e4hrliches Audit erfasst einen einzigen Moment. Die \u00fcbrigen Tage bleiben ungemessen.<\/p>\n

H\u00e4rten Sie die Umgebung nach einem festen Zeitplan, dann schlie\u00dfen Sie diese L\u00fccken, bevor jemand anderes sie f\u00fcr Sie testet. Das ist der ganze Gedanke dahinter. Wer sehen m\u00f6chte, wie wir die kontinuierliche Active-Directory-Bewertung in die Plattform integriert haben, findet die Details in der Ank\u00fcndigung zum Release<\/a>. Unabh\u00e4ngig davon, welche Werkzeuge Sie einsetzen: Die drei oben genannten L\u00fccken sind die, nach denen Sie zuerst suchen sollten.<\/p>\n","protected":false},"excerpt":{"rendered":"

Werbung \u2013 Fehlkonfigurationen im Active-Directory k\u00f6nnen Angreifern eine Dom\u00e4ne ausliefern. Mihail Lupan, Head of Security Research, bei Holm Security zeigt drei solcher riskanten Fehlkonfigurationen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,426,143,2557],"tags":[6712,4293,4328,3288],"class_list":["post-326501","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-sicherheit","category-tipps","category-windows-server","tag-active-directory","tag-allgemein","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326501","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=326501"}],"version-history":[{"count":9,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326501\/revisions"}],"predecessor-version":[{"id":326623,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326501\/revisions\/326623"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=326501"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=326501"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=326501"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}