Willkommen zum letzten Teil dieser Serie, in der wir die zehn wichtigsten Fehlkonfigurationen von CISA und NSA im Bereich der Cybersicherheit im Zusammenhang mit hybriden Active Directory-Umgebungen diskutieren. Active Directory ist das Identitätssystem der meisten Unternehmen: ein wichtiger Teil Ihrer Infrastruktur und ein Hauptziel für Cyberangreifer.
Diese Woche werde ich die letzten drei Fehlkonfigurationen auf der CISA/NSA-Liste besprechen. Lesen Sie weiter:
- Eine kurze Erklärung, wie sich die einzelnen Sicherheitslücken auf hybride Active Directory-Identitätsumgebungen auswirken
- Risiken für Active Directory und Entra ID
- Indikatoren der Gefährdung (IOEs) und Indikatoren der Kompromittierung (IOCs), die Semperis Directory Services Protector und Purple Knight verwenden, um Sie auf das Vorhandensein der Schwachstelle oder auf Versuche, diese auszunutzen, hinzuweisen
Lesen Sie die Serie von Anfang an: NSA Top Ten Cybersecurity-Fehlkonfigurationen + AD-Sicherheit (Teil 1)
8. Unzureichend konfigurierte Zugriffskontrolllisten für Netzwerkfreigaben und Dienste
Eine falsche Konfiguration der Zugriffskontrollliste (ACL) bedeutet aus Sicht der Active Directory-Sicherheit in der Regel, dass die Berechtigungen entweder zu freizügig oder falsch zugewiesen sind. ACLs, die zu freizügig sind, können unbefugten Benutzern den Zugriff, die Änderung oder das Löschen von Daten ermöglichen. Falsche Zuweisungen können Benutzern Zugriffsrechte gewähren, die für ihre Rolle oder Funktion nicht erforderlich sind. Jedes der beiden Probleme kann eine der folgenden Ursachen haben:
- Mangelndes Verständnis des Prinzips der geringsten Privilegien
- Eine Fehlinterpretation der Zugangsvoraussetzungen
- Einfacher Überblick über die komplexe Aufgabe der Verwaltung von Zugriffsrechten
Risiken für die Identitätssicherheit
Die Hauptschwachstelle im Zusammenhang mit ACL-Fehlkonfigurationen liegt bei den Netzwerkfreigaben und -diensten, die die ACLs schützen. Die möglichen Auswirkungen erstrecken sich jedoch auf das gesamte Unternehmen. Eine unsachgemäße Zugriffskontrolle kann zu folgenden Problemen führen:
- Datenschutzverletzungen
- - Unbefugte Datenmanipulation
- - Unterbrechung der Dienstleistungen
Im Zusammenhang mit Active Directory und Entra ID spielen ACLs eine entscheidende Rolle bei der Sicherung der Authentifizierungs- und Autorisierungsinfrastruktur. Die Risiken werden durch die zentrale Rolle der Dienste noch verstärkt.
Indikatoren für die Exposition und Indikatoren für die Gefährdung
In Purple Knight und Directory Services Protector können die folgenden Indikatoren Sie auf unzureichende ACLs hinweisen:
- Nicht standardmäßige Schema-Berechtigungen. Standardmäßig sind die Änderungsberechtigungen für das Schema auf Schema-Admins beschränkt. Diese Berechtigungen gewähren dem vertrauenswürdigen Prinzipal die vollständige Kontrolle über Active Directory.
- Änderungen der Delegation an den Domain NC-Kopf. Änderungen in der Delegation an dieses spezielle Objekt könnten es nicht privilegierten Benutzern ermöglichen, die Active Directory-Datenbank zu synchronisieren, um sie offline zu knacken (d.h. ein DCSync-Angriff).
- Nicht standardmäßige Principals mit DC Sync-Rechten in der Domäne. Sicherheitsprinzipale mit diesen Rechten für das Domänenbenennungs-Kontextobjekt können möglicherweise Passwort-Hashes für Benutzer in einer Active Directory-Domäne abrufen (d.h. ein DCSync-Angriff).
- Berechtigungsänderungen am AdminSDHolder-Objekt. Dieser Sicherheitsindikator könnte auf einen Versuch hindeuten, die Berechtigungen für privilegierte Objekte zu ändern, die AdminSDHolder unterstehen.
- Schreibzugriff auf RBCD auf krbtgt-Konto. Angreifer, die Schreibzugriff auf die rollenbasierte eingeschränkte Delegation (RBCD ) für eine Ressource erhalten, können die Ressource dazu bringen, sich als ein beliebiger Benutzer auszugeben.
- Azure-Anwendungsregistrierung mit Lese-/Schreibzugriff. Eine böswillige oder falsch konfigurierte Anwendung kann zur Offenlegung von Daten oder zur Kompromittierung eines Azure-Mandanten führen.
- Prüfen Sie auf riskante API-Berechtigungen, die Anwendungsdienstprinzipalen gewährt werden. Ein böswilliger Anwendungsadministrator könnte diese Berechtigungen verwenden, um sich selbst oder anderen administrative Rechte zu gewähren.
- Nicht-Administrator-Benutzer können benutzerdefinierte Anwendungen in Entra ID registrieren. Wenn Nicht-Administrator-Benutzer benutzerdefinierte Unternehmensanwendungen registrieren dürfen, könnten Angreifer dieses Schlupfloch nutzen, um bösartige Anwendungen zu registrieren. Die Angreifer könnten dann diese Anwendungen nutzen, um zusätzliche Berechtigungen zu erhalten.
- Sicherheitsvorgaben sind in Entra ID nicht aktiviert. Die Sicherheitsvorgaben erfordern eine Multifaktor-Authentifizierung (MFA), blockieren die Legacy-Authentifizierung und erfordern eine zusätzliche Authentifizierung beim Zugriff auf das Azure-Portal, die Azure PowerShell und die Azure CLI.
- AAD privilegierte Benutzer, die auch in AD privilegiert sind. Eine Kompromittierung eines Kontos, das sowohl in Active Directory als auch in Entra ID (früher Azure AD oder AAD) privilegiert ist, kann zur Kompromittierung beider Umgebungen führen.
- Privilegierte AD-Benutzer, die mit AAD synchronisiert werden. Wenn ein privilegierter Active Directory-Benutzer mit Entra ID (früher AAD) synchronisiert wird, kann eine Kompromittierung des Entra ID-Benutzers zu einer Kompromittierung der lokalen Umgebung führen.
9. Schlechte Hygiene bei den Anmeldeinformationen
Schlechte Hygiene bei den Anmeldeinformationen könnte bedeuten:
- Schwache Passwörter verwenden
- Wiederverwendung von Passwörtern für mehrere Konten
- Gemeinsame Nutzung von Anmeldeinformationen durch Benutzer
- Versäumnis, Standardbenutzernamen und Passwörter zu ändern
- Regelmäßige Aktualisierung der Anmeldeinformationen unterlassen
- Keine MFA verwenden
- Unsachgemäße Aufbewahrung von Zugangsdaten (z.B. Aufschreiben auf Papier, Aufbewahrung in ungeschützten digitalen Dateien, Verwendung unsicherer Tools zur Passwortverwaltung)
Risiken für die Identitätssicherheit
Schlechte Hygiene bei den Anmeldeinformationen kann Ihr gesamtes Netzwerk-Ökosystem gefährden. Die Risiken sind besonders groß in Umgebungen, die Active Directory für die Verwaltung von Netzwerkressourcen und Entra ID für Cloud-Dienste verwenden.
In einem Active Directory-Kontext kann eine mangelhafte Hygiene der Anmeldeinformationen dazu führen:
- Unbefugter Zugriff auf die Domäne
- Seitliche Bewegungen innerhalb des Netzwerks
- Eskalation von Privilegien
Kurz gesagt, diese Art von Fehlkonfiguration kann es Angreifern ermöglichen, dauerhaften Zugriff auf Ihre Systeme zu erlangen und sensible Daten zu kompromittieren.
Indikatoren für die Exposition und Indikatoren für die Gefährdung
Unter Purple Knight und Directory Services Protector können Sie anhand der folgenden Indikatoren auf eine schlechte Anmeldehygiene aufmerksam gemacht werden:
- Admins (oder andere Benutzer) mit alten Passwörtern. Wenn die Kennwörter von Administratorkonten nicht regelmäßig geändert werden, können die Konten ein gefundenes Fressen für Angriffe zum Erraten von Kennwörtern sein.
- Eingebautes Domänenadministrator-Konto mit altem Kennwort. Wenn dieses Kennwort nicht regelmäßig geändert wird, kann das Konto für Brute-Force-Kennwortangriffe anfällig sein.
- Kerberos krbtgt-Konto mit altem Passwort. Wenn das Kennwort des krbtgt-Kontos kompromittiert ist, können Bedrohungsakteure Golden-Ticket-Angriffe durchführen, um Zugang zu jeder Ressource in einer Active Directory-Domäne zu erhalten.
- Privilegierte Konten (oder alle Benutzer) mit einem Kennwort, das nie abläuft. Benutzerkonten mit Kennwörtern, die nie ablaufen, sind ein ideales Ziel für das Erraten von Kennwörtern mit roher Gewalt. Konten, die auch administrative oder privilegierte Konten sind, sind ein noch größeres Ziel.
- Privilegierte Benutzer mit schwachen Kennwortrichtlinien. Schwache Passwörter lassen sich leichter durch Brute-Force-Angriffe knacken und geben Angreifern die Möglichkeit, sich seitlich zu bewegen oder ihre Privilegien zu erweitern. Das Risiko ist bei privilegierten Konten sogar noch größer. Wenn diese Konten kompromittiert werden, verbessern sie die Chancen eines Angreifers, schnell in Ihrem Netzwerk vorzudringen.
- Benutzerkonten, die Kennwörter mit umkehrbarer Verschlüsselung speichern. Angreifer könnten in der Lage sein, diese Passwörter aus dem verschlüsselten Text abzuleiten und die Konten zu übernehmen.
- Benutzerkonten, die DES-Verschlüsselung verwenden. Angreifer können DES-Passwörter mit weit verbreiteten Tools leicht knacken, so dass diese Konten leicht übernommen werden können.
- Der benutzerdefinierte Schutz vor verbotenen Passwörtern wird in Entra ID nicht verwendet. Organisationen, die keinen benutzerdefinierten Passwortschutz verwenden, sind anfälliger für Angriffe zum Erraten von Passwörtern.
10. Uneingeschränkte Code-Ausführung
Die uneingeschränkte Ausführung von Code kann auf verschiedene Fehlkonfigurationen zurückzuführen sein, darunter:
- Übermäßig freizügige Benutzerrechte
- Fehlendes Whitelisting von Anwendungen,
- Deaktivierte oder falsch konfigurierte Sicherheitsfunktionen
- Unzureichender Einsatz von Sandboxing-Techniken
Risiken für die Identitätssicherheit
Systeme mit Schwachstellen in der uneingeschränkten Codeausführung sind dem Risiko unbefugter Aktivitäten sowohl durch externe Angreifer als auch durch Insider-Bedrohungen ausgesetzt. In Active Directory-Umgebungen kann die uneingeschränkte Codeausführung einem Angreifer ermöglichen, seine Privilegien zu erweitern oder sich innerhalb des Netzwerks zu bewegen. In Entra ID könnte diese Art von Fehlkonfiguration die Ausführung von bösartigem Code ermöglichen, der Cloud-Dienste und -Daten gefährden kann.
Indikatoren für die Exposition und Indikatoren für die Gefährdung
Böswillige Änderungen, die diese Schwachstellen in Active Directory ausnutzen, umgehen das Sicherheitsereignisprotokoll und können mit Standard-Überwachungstools nicht entdeckt werden. Um diese Risiken einzudämmen, sollten Unternehmen Tools verwenden, die eine umfassende Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR) ermöglichen. Zum Beispiel können DSP und PK Active Directory und Entra ID auf Anzeichen eines Mimikatz DCShadow-Angriffs überprüfen.
Verstärken Sie Ihre Identitätsverteidigung
Diese Liste der zehn wichtigsten Cybersecurity-Fehlkonfigurationen von CISA und NSA stellt ein erhebliches Sicherheitsproblem dar, insbesondere in Microsoft Windows- und Active Directory-Umgebungen. Solche Schwachstellen sind jedoch nicht auf diese Umgebungen beschränkt. Vielmehr weisen sie auf potenzielle Probleme in einer Vielzahl von Netzwerkkonfigurationen hin.
Semperis hebt hervor, dass Sicherheitstools wie DSP-I und PK potenzielle Sicherheitslücken und Kompromisse aufdecken können und eine Möglichkeit bieten, Änderungen in der AD-Infrastruktur zu überwachen und zu korrigieren.
Die Umsetzung robuster Cybersicherheitsmaßnahmen, regelmäßige Audits und ein proaktiver Ansatz bei der Verwaltung der Netzwerkkonfiguration können dazu beitragen, diese Risiken zu mindern. Darüber hinaus können robuste Tools zur Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR) wie Directory Services Protector und Purple Knight-die kostenlos heruntergeladen und verwendet werden können, Netzwerkverteidigern dabei helfen, die Ausnutzung durch böswillige Akteure zu verhindern oder einzudämmen. Eine verstärkte Verteidigung und regelmäßige (oder besser noch kontinuierliche) Überwachung Ihrer hybriden Active Directory-Umgebung ist der beste Weg, um zu verhindern, dass diese häufigen, aber kritischen Fehlkonfigurationen einem Cyberangreifer den Tag versüßen - und Ihnen den Tag verderben.
Frühere Beiträge in dieser Serie
