Daniel Petri

Security Identifier (SID) History Injection ist ein raffinierter Cyberangriff, der auf Windows Active Directory-Umgebungen abzielt. Dieser Angriff nutzt das SID-History-Attribut aus, das dazu dient, die Zugriffsrechte von Benutzern während der Migration von einer Domäne in eine andere zu erhalten. Indem er bösartige SID-Werte in dieses Attribut einschleust, kann ein Angreifer seine Privilegien ausweiten und unbefugten Zugriff auf Ressourcen innerhalb der Active Directory-Umgebung erlangen.

Was ist die SID History Injektion?

SID History Injection beinhaltet die unbefugte Änderung des SID History-Attributs eines kompromittierten Benutzerkontos in Active Directory. Dieses Attribut speichert normalerweise frühere SIDs aus älteren Domänen, wenn ein Benutzer oder eine Gruppe in eine neue Domäne migriert wird. Der Zweck ist, den Zugriff des Benutzers oder der Gruppe auf Ressourcen aufrechtzuerhalten.

Angreifer nutzen diese Funktion aus, indem sie eine SID in das Attribut einfügen, die einer Gruppe mit hohen Privilegien entspricht, wie z.B. Domain Admins. Der Angreifer kann dann das Konto verwenden, um seine Privilegien zu erweitern, Hintertüren zu erstellen oder Daten zu exfiltrieren.

SID History Injection gilt als ein ausgeklügelter Angriffsvektor, weil er:

  • Erfordert tiefgreifende Kenntnisse von Active Directory und erhöhten Rechten
  • Umgeht die Standard-Sicherheitsmaßnahmen, die nach direkten Änderungen der Gruppenmitgliedschaft suchen
  • Nutzt ein tiefes Verständnis von Active Directory und Windows-Authentifizierungsmechanismen

Wie funktioniert die SID History-Injektion?

Bestimmte Elemente können Umgebungen besonders anfällig für SID History Injection machen. Zu diesen Aspekten gehören:

  • Ältere Systeme: Ältere Systeme, insbesondere solche, die mehrere Domänenmigrationen durchlaufen haben, können veraltete Sicherheitsprotokolle und -konfigurationen enthalten, die nicht mit modernen Best Practices für Sicherheit übereinstimmen. Diese Systeme haben oft noch SID-Verlaufsattribute, die bei Sicherheitsprüfungen übersehen werden könnten.
  • Übersehene SIDs: Bei Migrationen können sich SID-Verlaufsattribute ansammeln. Ältere SIDs, die nicht mehr relevant sind oder außer Betrieb genommen wurden, werden möglicherweise nicht ordnungsgemäß gelöscht und bieten Angreifern eine Hintertür.
  • Komplexe Migrationen: In komplexen Umgebungen, in denen Migrationen die Konsolidierung mehrerer Domänen beinhalten, kann der SID-Verlauf zu einem Repository zahlreicher alter SIDs werden, was die Angriffsfläche vergrößert.
  • Falsch konfigurierte Berechtigungen: Die korrekte Konfiguration von Berechtigungen in Active Directory ist von entscheidender Bedeutung. Falsch konfigurierte Berechtigungen, die es nicht-administrativen Konten erlauben, auf SID History-Attribute zu schreiben, können katastrophale Folgen haben.
  • Zu weit gefasste Zugriffskontrollen: Die Gewährung umfassender Berechtigungen kann dazu führen, dass nicht-administrative Benutzer die Möglichkeit haben, sensible Attribute zu ändern, entweder direkt oder über Gruppenmitgliedschaften.
  • Delegierte Verwaltung: In großen Unternehmen ist die Delegation von Verwaltungsaufgaben üblich. Wenn dies nicht ordnungsgemäß überwacht wird, kann dies dazu führen, dass Benutzer mehr Berechtigungen als nötig haben, einschließlich der Möglichkeit, den SID-Verlauf zu ändern.
  • Fehlende Benachrichtigungssysteme: Viele Unternehmen haben keine Warnsysteme konfiguriert, um über Änderungen an kritischen Attributen in Active Directory zu informieren.
  • Unzureichende Überprüfungsrichtlinien: Active Directory verfügt möglicherweise nicht über Standard-Überprüfungseinstellungen, die so konfiguriert sind, dass Änderungen an SID-History-Attributen nachverfolgt werden können, insbesondere wenn das Unternehmen die SID-History-Injektion nicht als potenzielles Risiko identifiziert hat.

Ein Angriff mit SID History Injection umfasst mehrere Schritte, die es dem Angreifer ermöglichen, seine Kontrolle über die kompromittierte Umgebung zu erhöhen.

Schritt 1. Erster Kompromiss

Ein Angreifer initiiert einen SID History Injection-Angriff häufig, indem er zunächst in das Netzwerk eindringt. Dieses Eindringen kann durch verschiedene Methoden erreicht werden:

  • Phishing: Versenden von gefälschten E-Mails, die den Anschein erwecken, legitim zu sein, und die Benutzer dazu verleiten, Anmeldedaten anzugeben
  • Ausnutzen bekannter Schwachstellen: Auf ungepatchte Systeme abzielen oder Zero-Day-Exploits verwenden
  • Social Engineering: Manipulation von Personen, damit sie Standard-Sicherheitsprotokolle brechen

In einem Beispiel hatten es die Angreifer auf ein Finanzinstitut abgesehen. Die Angreifer brachten einen Mitarbeiter dazu, ein Dokument zu öffnen, das eine Schwachstelle in der Dokumentenlesesoftware des Unternehmens ausnutzte. Diese Schwachstelle führte zur Ausführung von bösartigem Code und zur Einrichtung einer Hintertür.

Schritt 2: Aufzählung der AD-Umgebung

Sobald der Angreifer drin ist, zählt er die Active Directory-Umgebung auf. Dieser Schritt könnte die Verwendung von:

  • LDAP-Abfragen zum Abrufen von Informationen über Benutzerkonten und die damit verbundenen Berechtigungen
  • PowerShell-Skripte zur Automatisierung der Erfassung von Daten zur Active Directory-Struktur
  • Active Directory Erkundungstools wie BloodHound, mit denen Sie Privilegienbeziehungen in Active Directory aufzeigen können

Diese Aufzählung ermöglicht es Angreifern, Konten mit erhöhten (aber schlecht überwachten) Berechtigungen zu entdecken.

Schritt 3: Änderung der SID-Historie

Bewaffnet mit dem richtigen Zugang, geht der Angreifer dann weiter:

  • Identifizieren Sie ein Zielkonto: Dies könnte ein Konto sein, das nicht stark genutzt oder überwacht wird, ein so genanntes verwaistes Konto.
  • Ändern Sie das Attribut SID-Verlauf: Mit einem Tool wie Mimikatz fügt der Angreifer eine SID in den SID-Verlauf des Zielkontos ein. Diese SID entspricht der SID einer hochprivilegierten Gruppe, wie z.B. Domain Admins.

Ein bemerkenswerter Fall betraf ein Technologieunternehmen. Ein Angreifer fügte die SID der Gruppe Enterprise Admins zu einem Dienstkonto hinzu, das normalerweise keine so hohen Privilegien benötigt.

Schritt 4: Privilegienerweiterung

Mit dem geänderten Attribut SID-History kann der Angreifer nun:

  • Zugriff auf Ressourcen: Das Zielkonto - und damit der Angreifer - kann nun auf Ressourcen zugreifen, die nur für die entsprechende Gruppe mit hohen Rechten zugelassen sind.
  • Hintertüren schaffen: Der Angreifer kann zusätzliche Konten einrichten oder bestehende Konten ändern, um sich einen dauerhaften Zugriff auf die Umgebung zu sichern.

Während des Einbruchs in eine Regierungsbehörde nutzten böswillige Akteure diese Methode, um ihre Privilegien zu erweitern und Backdoor-Konten für einen dauerhaften Zugriff zu erstellen. Die Angreifer nutzten diese Konten dann, um sensible Daten über einen längeren Zeitraum zu exfiltrieren.

Welche Risiken sind mit der SID History-Injektion verbunden?

Zu den Risiken der SID History Injektion gehören:

  • Unbefugter Zugriff: Angreifer verschaffen sich Zugang zu sensiblen Bereichen des Netzwerks, was zu Datenverletzungen führt.
  • Privilegienerweiterung: Angreifer erhöhen die Privilegien ohne direkte Änderung der Gruppenmitgliedschaften, um nicht entdeckt zu werden.
  • Dauerhaftigkeit: Angreifer können eingeschleuste SIDs verwenden, um den Zugang auch nach einer Passwortänderung oder Deaktivierung des Kontos aufrechtzuerhalten.
  • Seitliche Bewegung: Die Injektion der SID-Geschichte erleichtert die seitliche Bewegung innerhalb des Netzwerks, was zu einer größeren Gefährdung führt.

Cyberangreifer haben diese Methode bei mehrstufigen Eindringversuchen verwendet, wobei sie den ersten Einbruch durch SID History Injection verschlimmern und erhebliche Datenexfiltration und Systemschäden verursachen.

Wie können Sie einen SID History Injection-Angriff erkennen?

So erkennen Sie die SID History Injection:

  • Überprüfen Sie Audit-Protokolle: Überprüfen Sie die Active Directory-Auditprotokolle regelmäßig auf unerwartete Änderungen des Attributs SID-Verlauf.
  • Konfigurieren Sie SIEM-Warnungen: Konfigurieren Sie Security Information and Event Management (SIEM)-Systeme so, dass sie bei Änderungen des SID-Verlaufs Alarm schlagen. Ohne angemessene Überwachung können Änderungen an SID History-Attributen unbemerkt bleiben.
  • Überprüfen Sie regelmäßig die Angriffsfläche von Active Directory: Verwenden Sie Active Directory-Sicherheitstools, um nach Konten mit SID-Historienattributen zu suchen, die nicht mit bekannten Migrationen übereinstimmen. Solche Tools können auch Anzeichen für eine Gefährdung erkennen, die SIEM-Systeme möglicherweise übersehen.

Wie können Sie einen SID History Injection-Angriff entschärfen?

Indem sie die gefährdeten Aspekte verstehen und angehen, können Unternehmen das Risiko einer SID History Injection erheblich reduzieren. Zu den Abhilfestrategien gehören die folgenden:

  • Upgrade von Altsystemen: Aktualisieren Sie Altsysteme oder stellen Sie sie außer Betrieb und stellen Sie sicher, dass alle SID-Verlaufsattribute bei Domänenmigrationen ordnungsgemäß verwaltet und gelöscht werden.
  • Überprüfen Sie die Berechtigungen: Vergewissern Sie sich, dass nur vertrauenswürdige Konten die Berechtigung haben, auf das Attribut SID-Verlauf zu schreiben.
  • Implementieren Sie das Prinzip der geringsten Rechte: Prüfen Sie regelmäßig die Berechtigungen und vergewissern Sie sich, dass den Benutzern nur die erforderlichen Rechte gewährt werden.
  • Verwenden Sie PAM-Lösungen: Implementieren Sie Privileged Access Management (PAM)-Lösungen, um den privilegierten Zugriff zu beschränken und zu kontrollieren.
  • Verbessern Sie die Überwachung: Implementieren Sie fortschrittliche Active Directory-Überwachungslösungen, die Sie über Änderungen an kritischen Attributen wie der SID-Historie informieren.
  • Patchen und aktualisieren: Halten Sie alle Systeme gepatcht und aktualisiert, um erste Kompromittierungsvektoren zu verhindern.

Darüber hinaus sollten Active Directory-Administratoren die folgenden Schritte unternehmen:

  • Aktivieren Sie Auditing: Überprüfen Sie Active Directory auf Änderungen am SID-Verlauf. Im Idealfall aktivieren Sie ein automatisches Rollback solcher Änderungen, bis sie als rechtmäßig eingestuft werden können.
  • Implementieren Sie das Prinzip der geringsten Berechtigung: Wenden Sie das Prinzip der geringsten Berechtigung auf alle Active Directory-Konten an.
  • Schulen Sie Ihr Personal: Schulen Sie Ihre IT-Mitarbeiter, damit sie die Anzeichen einer SID History Injection erkennen und angemessen reagieren können.
  • Führen Sie regelmäßige Überprüfungen durch: Führen Sie regelmäßige Zugriffsüberprüfungen für Gruppen mit hohen Privilegien durch.

Schutz vor SID History Injection

SID History Injection ist ein heimlicher Angriff, der zu erheblichen Sicherheitsverletzungen führen kann. Die Subtilität und Komplexität des Angriffs machen ihn besonders gefährlich, da er ohne spezielle Kontrollen und Überwachung, die sich auf das SID History-Attribut konzentrieren, oft unentdeckt bleiben kann. Vorfälle aus dem wirklichen Leben unterstreichen die Notwendigkeit von robusten Sicherheitsmaßnahmen und ständiger Wachsamkeit.

Unternehmen sollten robuste Sicherheitspraktiken einführen - einschließlich regelmäßiger Überwachung, Zugriff mit geringsten Rechten und Benutzerschulung -, um sich vor solchen Angriffen zu schützen.
Unternehmen müssen auch bei der Absicherung ihrer Active Directory-Umgebungen wachsam und proaktiv bleiben, um SID History Injection und anderen aufkommenden Bedrohungen zu begegnen.