Huy Kha | Senior Architekt für Identität und Sicherheit

Da Active Directory sowohl eine breite als auch eine tiefe Kontrolle über Ihr Windows-Ökosystem bietet, sind Cyber-Angreifer ständig auf der Suche nach AD-Einstiegspunkten. Eine der einfachsten Möglichkeiten für Cyber-Angreifer, sich Zugang zu Ihrem Identitätssystem zu verschaffen, ist das Erraten eines Kontopassworts oder das Erlangen eines Passworts durch Phishing, Social Engineering oder Passwort-Spraying. Die zweitbeste Lösung? Ein verschlüsseltes Passwort, das leicht zu entschlüsseln ist.

Aus diesem Grund wird von jeder Anmeldefunktion abgeraten, die es leicht macht, ein Passwort in Erfahrung zu bringen. Dies trifft auf Policy (GPP) zu.

Was ist die Funktion Policy ?

Policy Group Policy ist eine Windows-Funktion, mit der Administratoren Einstellungen für mehrere Computer innerhalb einer Active Directory (AD)-Domäne verwalten können. Mit GPP können Administratoren unter anderem zugeordnete Laufwerke, geplante Aufgaben und Registrierungseinstellungen steuern.

Früher erlaubte GPP auch das Festlegen von Kennwörtern für lokale Konten(Abbildung 1). Diese Praxis war jedoch unsicher, da sie die Speicherung von Kennwörtern in einem leicht umkehrbaren Format erlaubte. Microsoft hat diese Funktion schließlich entfernt.

Abbildung 1. Dieses Bild zeigt zwei GPP-Dateien in SYSVOL, in denen das Kennwort für das lokale Administratorkonto gespeichert wurde. Diese Praxis wird aufgrund von Sicherheitsrisiken nicht mehr empfohlen.

Wie werden Policy missbraucht?

Abbildung 2 zeigt ein Beispiel für eine GPP-XML-Datei, in der das Passwort für das lokale Administratorkonto gespeichert ist. Das Passwort, dargestellt als cpasswordist zwar verschlüsselt, konnte aber leicht entschlüsselt werden, da der Verschlüsselungsschlüssel öffentlich bekannt ist, was zu großen Sicherheitsrisiken führte. Außerdem konnten die in GPP festgelegten Kennwörter auf mehrere Workstations und Mitgliedsserver angewendet werden. Das bedeutete, dass das lokale Administratorkonto auf jedem dieser Systeme dasselbe Kennwort haben würde, das von der cpassword Wert in der XML-Datei.

Abbildung 2. Diese Abbildung zeigt eine GPP-XML-Datei, die das verschlüsselte Passwort für das lokale Administratorkonto enthält (cpassword), die leicht entschlüsselt werden können.

Wie können Sie GPP-Missbrauch erkennen und sich dagegen wehren?

Semperis Directory Services Protector DSP) verfügt über eine Sicherheitswarnung, die potenzielle Passwortdateien in Policy kontinuierlich überwacht und erkennt (Abbildung 3).

Abbildung 3. Dieses Bild zeigt, wie DDSP kontinuierlich nach reversiblen Passwörtern sucht, die in Policy gespeichert sind.

Profile von Bedrohungsakteuren

Die folgenden Angreifer haben in Policy nach Passwörtern gesucht:

  • Wizard Spider (MITRE Gruppe G0102)1
  • APT33 (MITRE Gruppe G0064)2
  • SchwarzKatze3

GPP Missbrauchstools

Die folgenden Tools können zur Suche nach Passwörtern in Policy verwendet werden:

  • PowerSploit
  • Net-GPPPasswort Get-GPPPasswort

Überblick über die Bedrohung

ATT&CK-Taktik: Zugriff auf Zugangsdaten

Auf Oktober 18, 2023berichtete Palo Alto Networks Unit 42, dass BlackCat, eine Ransomware-Bande, hat ein neues Tool namens Munchkin eingeführt. Dieses Tool wurde über eine angepasste virtuelle Alpine-Maschine bereitgestellt und enthält verschiedene Python-Skripte, darunter Get-GPPPassword.py. Angreifer nutzten dieses Tool zum Auffinden und Gespeicherte Passwörter in Policy ausnutzen.4

Auf März 27, 2019Symantec berichtet, dass APT33 (Elfin) versucht hat, die Gpppassword Tool zum In Policy gespeicherte Passwörter suchen und entschlüsseln. Es ist zwar nicht klar, ob diese Versuche erfolgreich waren, aber die Gruppe versuchte, falsch konfigurierte GPP-Einstellungen auszunutzen, um Klartext-Passwörter zu extrahieren und sich seitlich durch die Zielnetzwerke zu bewegen.5

Semperis Schnappschuss

Im Jahr 2014 veröffentlichte Microsoft das Sicherheitsbulletin MS14-025 Sicherheitsupdates zur Verfügung stellen, um die Sicherheitsrisiken mit GPP zu beheben. Die Anwendung der MS14-025-Updates verhindert jedoch lediglich neue Richtlinien zum Festlegen von Kennwörtern; sie entfernt nicht die alten Richtlinien, die noch Kennwörter in SYSVOL. Sie können diese bestehenden Richtlinien bereinigen, indem Sie Microsofts Get-SettingsWithCPassword.ps1 Skript, das alle offenen Passwörter findet und löscht.

Die Umstellung auf Windows Local Administrator Password Solution (Windows LAPS) oder eine andere Lösung zur Verwaltung von privilegiertem Zugriff ist eine bessere Möglichkeit, lokale Administratorpasswörter zu verwalten, um sicherzustellen, dass jeder Rechner ein eindeutiges Passwort hat und Angreifer daran gehindert werden, sich seitlich zu bewegen.

Erfahren Sie mehr über die Risiken der Kompromittierung von Zugangsdaten

Endnoten

  1. https://attack.mitre.org/groups/G0102/
  2. https://attack.mitre.org/groups/G0064/
  3. https://en.wikipedia.org/wiki/BlackCat_(cyber_gang)
  4. https://unit42.paloaltonetworks.com/blackcat-ransomware-releases-new-utility-munchkin/
  5. https://www.security.com/threat-intelligence/elfin-apt33-espionage