Daniel Petri

Wenn es um Cybersicherheit geht - insbesondere um die Sicherheit kritischer Identitätsinfrastrukturen - sollte die Mindesterwartung für jede Organisation darin bestehen, bekannte Schwachstellen und Konfigurationslücken zu schließen. Willkommen zum zweiten Teil unserer dreiteiligen Diskussion darüber, wie die Liste der zehn wichtigsten Cybersecurity-Fehlkonfigurationen von CISA und NSA auf hybride Active Directory-Umgebungen anwendbar ist und wie Sie diese Probleme in Ihrem eigenen Unternehmen beheben können.

Lesen Sie weiter: NSA Top Ten Cybersecurity-Fehlkonfigurationen + AD-Sicherheit (Teil 1 von 3)

Über diese Serie

Teil 1 dieser Serie befasst sich mit den ersten drei Punkten auf der Liste der zehn wichtigsten Cybersecurity-Fehlkonfigurationen von CISA und NSA. In diesem Beitrag geht es um die nächsten vier Punkte. Nächste Woche, in Teil 3, werde ich die Liste abschließen.

Um es kurz zu machen: Active Directory ist das zentrale Identitätssystem für die meisten Unternehmen, unabhängig von der Branche. In dieser Serie stelle ich vor:

  • Eine kurze Erklärung der einzelnen Schwachstellen in Bezug auf eine hybride Active Directory-Identitätsumgebung
  • Verbundene Risiken
  • Gefährdungsindikatoren (IOEs) und Kompromittierungsindikatoren (IOCs) in Semperis Directory Services Protector und dem kostenlosen Community-Tool Purple Knight , das Sie auf die Schwachstelle oder potenzielle Versuche, sie auszunutzen, aufmerksam machen kann

Lassen Sie uns eintauchen.

4. Fehlende Netzwerksegmentierung

Bei der Netzwerksegmentierung wird ein Netzwerk in mehrere Teilnetze unterteilt, um die Anzahl der Hosts zu minimieren, die direkt miteinander interagieren können. Ohne eine angemessene Segmentierung ist das Netzwerk eines Unternehmens im Wesentlichen flach. Sobald sich ein Angreifer Zugang zu einem Teil des Netzwerks verschafft hat, kann er potenziell auf alle anderen Teile zugreifen, ohne auf interne Barrieren zu stoßen.

Risiken für die Identitätssicherheit

Eine fehlende Segmentierung scheitert an der Eindämmung von Sicherheitsverletzungen und kann böswilligen Akteuren ein schnelles Eindringen ermöglichen. In einem flachen Netzwerk sind alle Systeme von jedem beliebigen Einstiegspunkt aus leichter zugänglich, was die potenziellen Auswirkungen einer Kompromittierung erhöht. Kritische Systeme wie sensible Datenbanken und Server, auf denen Active Directory gehostet wird, sind viel anfälliger für Cyber-Bedrohungen, da die internen Verteidigungsmaßnahmen minimal sind.

Ohne Segmentierung können sich Cyber-Bedrohungen wie Ransomware schneller im gesamten Netzwerk Ihres Unternehmens verbreiten. Active Directory ist besonders gefährdet, da es ein Hauptziel für Angreifer ist, die ihre Privilegien erhöhen und die administrative Kontrolle über Netzwerkressourcen erlangen wollen.

Umgang mit dem Identitätsrisiko

Im Bereich der Cybersicherheit geht der Fokus auf Segmentierung über das Netzwerk hinaus. Die Segmentierung schließt auch die Identität mit ein.

Die Vertrauenssegmentierung geht über das traditionelle (und unzureichende) Vertrauen in die Active Directory-Gesamtstruktur als einzige Vertrauensgrenze hinaus. Stattdessen ist eine granulare Kontrollebene, die so genannte Mikrosegmentierung, erforderlich, die mit dem Zero Trust Framework übereinstimmt. Der Ressourcenzugriff sollte von einer vielschichtigen Bewertung der Vertrauenswürdigkeit abhängig gemacht werden.

Für eine solide Sicherheitslage sollte die Entscheidungsfindung auf einer umfassenden Analyse verschiedener Datenpunkte beruhen. Tools wie Forest Druid ermöglichen es Administratoren, die Position jeder Identität im Verhältnis zu Tier 0-Objekten genau zu bestimmen und liefern so die detaillierten Informationen, die Sie benötigen, um fundierte Sicherheitsentscheidungen zu treffen. Solche Tools erleichtern den Export von Tier 0-Objekten in Authentifizierungssysteme und ermöglichen so die Implementierung zusätzlicher Sicherheitsvorkehrungen wie die Zwei-Faktor-Authentifizierung (2FA) oder die Aktivierung erweiterter Auditing-Funktionen, die Ihre Sicherheit insgesamt verbessern.

5. Schlechte Patch-Verwaltung

Im Kern bezieht sich eine schlechte Patch-Verwaltung auf das Fehlen systematischer Prozesse zur Identifizierung, Beschaffung, Prüfung und Installation von Software-Updates und Patches in einer rechtzeitigen und zuverlässigen Weise. Diese Nachlässigkeit kann dazu führen, dass veraltete Systeme im Netzwerk betrieben werden. Solche Systeme können bekannte Schwachstellen beherbergen. Für komplexe Umgebungen, einschließlich solcher, die sowohl Active Directory als auch Entra ID nutzen, ist die Patch-Verwaltung von entscheidender Bedeutung, da diese Dienste eine wesentliche Rolle für die Netzwerksicherheit und das Identitätsmanagement spielen.

Risiken für die Identitätssicherheit

Jedes System oder jede Anwendung, die nicht regelmäßig gepatcht wird, ist ein potenzielles Ziel für Angriffe. Für Verzeichnisdienste steht sogar noch mehr auf dem Spiel. Active Directory, die zentrale Instanz für die Authentifizierung und die Durchsetzung von Richtlinien in den meisten Windows-basierten Umgebungen, ist besonders gefährdet. Wenn ein Active Directory-Domänencontroller aufgrund einer ungepatchten Schwachstelle kompromittiert wird, ist die gesamte Domäne - möglicherweise der gesamte Wald - gefährdet.

Die möglichen Folgen einer schlechten Patch-Verwaltung sind weitreichend und können Folgendes umfassen:

  • Datenschutzverletzungen
  • Malware-Infektionen
  • Ransomware-Angriffe
  • Verlust des Dienstes

Indikatoren für die Exposition und Indikatoren für die Gefährdung

Unter Purple Knight und Directory Services Protector können Sie anhand der folgenden Indikatoren auf Probleme bei der Patch-Verwaltung aufmerksam gemacht werden:

  • Enterprise Key Admins mit Vollzugriff auf die Domäne. Dieses Problem wurde in einer Version von Windows 2016 behoben. Wenn das Problem jedoch nicht behoben wurde, können Mitglieder dieser Gruppe alle Änderungen aus Active Directory replizieren, wie es bei DCSync-Angriffen der Fall ist.
  • Computer mit älteren Betriebssystemversionen. Computer mit älteren und nicht unterstützten Betriebssystemversionen können mit bekannten oder ungepatchten Exploits angegriffen werden.
  • SMBv1 ist auf Domain Controllern aktiviert. SMBv1 ist ein altes Protokoll (das von Microsoft 2014 abgelehnt wurde), das als unsicher und anfällig für alle Arten von Angriffen gilt.
  • SMB-Signierung ist auf Domain Controllern nicht erforderlich. Unsignierter Netzwerkverkehr ist anfällig für Angriffe, die das NTLM Challenge-Response-Protokoll missbrauchen.
  • Zerologon Sicherheitslücke. Ohne diesen Patch kann ein nicht authentifizierter Angreifer die Sicherheitslücke CVE-2020-1472 ausnutzen, um seine Berechtigungen zu erhöhen und administrativen Zugriff auf die Domäne zu erhalten.
  • Computerkonten, die bestimmte CVEs ausnutzen. Eine Warnung zu diesen Indikatoren kann bedeuten, dass ein Angreifer die angegebene Schwachstelle ausgenutzt hat, um seine Privilegien auf einen Domänencontroller auszuweiten.

6. Umgehung der Systemzugangskontrollen

Eine Umgehung der Systemzugriffskontrollen erfolgt in der Regel, wenn die Sicherheitsmechanismen falsch konfiguriert sind oder wenn Schwachstellen im Systemdesign ausgenutzt werden. Bedrohungsakteure können eine solche Umgehung nutzen, um unbefugten Zugriff auf Systeme oder Daten zu erhalten. Diese Fehlkonfiguration oder Ausnutzung kann auf eine Vielzahl von Problemen zurückzuführen sein:

  • Unsichere Standardeinstellungen
  • Fehlerhafte Authentifizierungsverfahren
  • Unwirksame Zugriffskontrolllisten (ACLs)
  • Die Ausnutzung von Systemschwachstellen

Risiken für die Identitätssicherheit

Systeme mit nicht ordnungsgemäß durchgesetzten Zugriffskontrollen sind von Natur aus anfällig für unbefugte Nutzung. Dieses Problem ist für Identitäts- und Zugriffsmanagementsysteme wie Active Directory und Entra ID von entscheidender Bedeutung.

Diese Systeme, die für die Sicherheitsinfrastruktur von zentraler Bedeutung sind, verwalten Benutzeridentitäten und kontrollieren den Zugriff auf Ressourcen im gesamten Netzwerk. Wenn ein Angreifer diese Kontrollen umgehen kann, könnte er den gleichen Zugang zu Ressourcen erhalten wie legitime Benutzer - oder schlimmer noch, seine Privilegien ausweiten.

Wenn die Umgehung unentdeckt bleibt, kann sie einem Angreifer möglicherweise dauerhaften Zugriff ermöglichen. In solchen Fällen nutzt ein Angreifer weiterhin Systemschwachstellen aus und greift über einen längeren Zeitraum auf sensible Daten zu. Persistenz gefährdet nicht nur die Integrität, Vertraulichkeit und Verfügbarkeit Ihrer Systeme, sondern kann auch dazu führen, dass Ihr Unternehmen gegen Compliance-Anforderungen verstößt.

Die Umgehung von Systemzugriffskontrollen umfasst Aktivitäten, die von den Standardbetriebsverfahren abweichen. Nehmen wir an, ein Angreifer kompromittiert einen Domain Controller durch direkte physische Interaktion mit dem System. Dieses Eindringen kann dazu führen, dass sensible Komponenten wie die Systemfestplatte und Active Directory-Backups unbefugtem Zugriff ausgesetzt sind. Ein unzureichend gesichertes Passwort für den Directory Services Restore Mode (DSRM) stellt in dieser Situation eine erhebliche Schwachstelle dar. Der Angreifer könnte Dienste unterbrechen, bösartige Nutzdaten in die Active Directory-Datenbank einschleusen und einen Systemneustart durchführen, um diese Änderungen in Kraft zu setzen.

Umgang mit dem Identitätsrisiko

Die Integration kritischer Systeme in eine umfassende Überwachungslösung kann Einblick in nicht autorisierte Aktivitäten bieten. Die regelmäßige (oder besser: kontinuierliche) Überwachung von Active Directory kann Ihnen helfen, Sicherheitsvorfälle im Bereich der Identität schnell zu erkennen und darauf zu reagieren.

7. Schwache oder falsch konfigurierte MFA-Methoden

Eine schwache oder falsch konfigurierte Multi-Faktor-Authentifizierung (MFA) kann auf verschiedene Weise auftreten:

  • Zulassen von unsicheren Ausweichoptionen
  • Versäumnis, MFA für alle Benutzerkonten durchzusetzen
  • Verwendung von Standardeinstellungen ohne Anpassung der Konfiguration an die Bedürfnisse Ihres Unternehmens
  • Versäumnis, die MFA-Software auf dem neuesten Stand zu halten

Angreifer können diese Lücken ausnutzen, um die zusätzliche Sicherheitsebene, die MFA bieten soll, zu umgehen.

Jedes Benutzerkonto, jede Anwendung und jedes System, das auf MFA für die Sicherheit angewiesen ist, kann gefährdet werden, wenn MFA nicht stabil konfiguriert ist. Das Risiko ist bei administrativen Konten besonders hoch, insbesondere in Active Directory- oder Entra ID-Umgebungen. Diese Konten verfügen über erhöhte Privilegien, die ausgenutzt werden können, um weitreichenden Schaden in der IT-Infrastruktur des Unternehmens anzurichten.

Risiken für die Identitätssicherheit

Der Missbrauch von MFA kann das Vertrauen der Benutzer in die Sicherheit des Systems schwächen, was zu riskantem Verhalten oder der Nichteinhaltung von Sicherheitsrichtlinien führen kann. Wenn die MFA als unzuverlässig eingestuft wird, könnte Ihr Unternehmen darüber hinaus einer behördlichen Überprüfung und Rufschädigung ausgesetzt sein, insbesondere wenn es aufgrund der Fehlkonfiguration zu einem Verstoß kommt.

Indikatoren für die Exposition und Indikatoren für die Gefährdung

Unter Purple Knight und Directory Services Protector können die folgenden Indikatoren Sie auf MFA-bezogene Probleme hinweisen:

  • MFA ist nicht für privilegierte Konten in Entra ID konfiguriert. Konten mit privilegiertem Zugriff sind für Angreifer ein anfälligeres Ziel. Die Kompromittierung eines privilegierten Benutzers stellt ein erhebliches Risiko dar und erfordert zusätzlichen Schutz.
  • Suchen Sie nach Benutzern mit schwacher oder fehlender MFA in Entra ID. Ein böswilliger Benutzer kann Codes vish oder smish (Formen von Social-Engineering-Angriffen) und Benutzer dazu bringen, sich zu authentifizieren.
  • Prüfen Sie, ob die Legacy-Authentifizierung in Entra ID erlaubt ist. Wenn Sie die Legacy-Authentifizierung zulassen, erhöht sich das Risiko, dass sich ein Angreifer mit zuvor kompromittierten Anmeldedaten anmeldet.
  • Die Richtlinie für bedingten Zugriff erfordert keine MFA für privilegierte Konten. Die Anforderung von MFA für privilegierte Konten stärkt die Sicherheit des Mieters und stellt sicher, dass privilegierte Konten sich identifizieren, indem sie mehr als nur einen Benutzernamen und ein Passwort angeben müssen.
  • Bedingte Zugriffsrichtlinie, die keine MFA verlangt, wenn ein Anmeldungsrisiko festgestellt wurde. Ein mittleres oder hohes Anmeldungsrisiko bedeutet eine mittlere bis hohe Wahrscheinlichkeit, dass eine nicht autorisierte Authentifizierungsanfrage gestellt wurde.
  • Nummernabgleich in MFA in Entra ID aktiviert. Wenn der Nummernabgleich in MFA aktiviert ist, sind Benutzer anfällig für MFA-Müdigkeitsattacken.

Erkennen Sie Fehlkonfigurationen von Active Directory und Entra ID

Nächste Woche werde ich die Auswirkungen der letzten drei Punkte der CISA- und NSA-Top-Ten-Liste der Cybersecurity-Fehlkonfigurationen auf Active Directory behandeln. Bis dahin können Sie unsere kostenlosen Community-Tools herunterladen, Purple Knight und Forest Druidherunterladen und damit beginnen, diese Fehlkonfigurationen in Ihrer Active Directory-Umgebung zu erkennen.

Andere Beiträge in dieser Serie