Daniel Petri

Ende letzten Jahres haben die Nationale Sicherheitsbehörde der Vereinigten Staaten (NSA) und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) eine Liste der häufigsten Sicherheitslücken in großen Computernetzwerken veröffentlicht. Diese Liste der zehn häufigsten Cybersecurity-Fehlkonfigurationen von CISA und NSA zeigt systemische Schwachstellen auf, insbesondere (aber nicht nur) in Microsoft Windows- und Microsoft Active Directory-Umgebungen.

Scannen Sie Ihre hybride Active Directory-Umgebung: Download Purple Knight

Unabhängig davon, ob Ihre Umgebung auf Active Directory allein oder in Kombination mit anderen Identitätssystemen wie Entra ID oder Okta basiert, sollte die Behebung dieser Schwachstellen oberste Priorität haben.

Wie lautet die Liste der zehn wichtigsten Cybersecurity-Fehlkonfigurationen von CISA und NSA?

Die Liste der zehn wichtigsten Fehlkonfigurationen in der Cybersicherheit von CISA und NSA basiert auf den Bewertungen der Red- und Blue-Teams, die von der Defensive Network Operations (DNO) der NSA und den Teams für Schwachstellenmanagement (VM) und Hunt and Incident Response der CISA und NSA durchgeführt wurden, und umfasst sowohl den staatlichen als auch den privaten Sektor. In dem Bericht werden auch die Taktiken, Techniken und Verfahren (TTPs) erläutert, die böswillige Akteure einsetzen, um die detaillierten Schwachstellen auszunutzen. Netzeigentümern und -betreibern wird unabhängig von ihren spezifischen Softwareumgebungen geraten, ihre Systeme rigoros auf diese Fehlkonfigurationen zu überprüfen.

Warum sollten Sie sich auf Active Directory konzentrieren?

Nicht jedes Problem auf der CISA/NSA-Liste hat direkt mit Active Directory zu tun, aber viele schon. Der jüngste Microsoft Digital Defense Report (MDDR, 2023) unterstreicht die Dringlichkeit, sich um die Sicherheit von Active Directory zu kümmern.

Der MDDR stellt fest, dass fast die Hälfte der Kunden, die an Microsoft Incident Response beteiligt sind, unsichere Active Directory-Konfigurationen haben. Außerdem heißt es in dem Bericht:

Die häufigsten Lücken, die wir bei der reaktiven Reaktion auf Vorfälle gefunden haben, waren:

  • Unzureichender Schutz für lokale administrative Konten.
  • Eine durchbrochene Sicherheitsbarriere zwischen lokaler und Cloud-Verwaltung.
  • Mangelnde Befolgung des Modells der geringsten Privilegien.
  • Ältere Authentifizierungsprotokolle.
  • Unsichere Active Directory-Konfigurationen.

Diese Lücken ermöglichen Angreifern Taktiken, die vom Erstzugriff bis hin zur seitlichen Bewegung und Persistenz reichen.

Microsoft Digital Defense Bericht 2023

Active Directory ist das zentrale Identitätssystem für die meisten öffentlichen und privaten Organisationen von heute. Dieser Verzeichnisdienst ist das Herzstück der Identitäts- und Zugriffsverwaltung. Das Alter des Dienstes - er wurde vor Jahrzehnten entwickelt - und seine entscheidende Rolle bei der Verwaltung des Zugriffs in der gesamten Umgebung machen ihn zu einem wichtigen Ziel für Cyberangriffe. Hybride Active Directory-Umgebungen (in denen Active Directory zusammen mit Entra ID oder einem anderen Identitätssystem verwendet wird) erhöhen die Angriffsfläche und können die Sicherheitsbemühungen erschweren.

Wie können Sie Fehlkonfigurationen von Active Directory beheben?

Bei Semperis unterhält unser Forschungsteam eine Bibliothek von Sicherheitsindikatoren, die Ihnen helfen, Ihre Sicherheitslage zu bewerten, Angriffswege zu schließen und ruchloses Verhalten zu erkennen. Gefährdungsindikatoren (Indicators of Exposure, IOEs) weisen auf Schwachstellen hin, die Cyberangreifer ausnutzen können (und oft auch tun). Kompromittierungsindikatoren (Indicators of Compromise, IOCs) warnen Sie vor Mustern, die mit verdächtigem Verhalten in Verbindung stehen - oft ein Anzeichen für einen Einbruch, Backdoor-Konten und andere aktive Bedrohungen.

Unsere Active Directory Audit-Tools, Directory Services Protector und das kostenlose Community-Tool Purple Knight verwenden diese Indikatoren beim Scannen Ihrer Active Directory-Infrastruktur. Die Ergebnisse liefern ein umfassendes Bild Ihrer Active Directory-Sicherheitslage mit priorisierten Anleitungen zur Abschwächung der identifizierten Probleme oder, im Falle von Directory Services Protector, mit automatischen Abhilfemaßnahmen.

Semperis hat die zehn wichtigsten Cybersecurity-Fehlkonfigurationen von CISA und NSA aus der Perspektive von Active Directory untersucht. In diesem Beitrag - dem ersten einer dreiteiligen Serie - erfahren Sie mehr:

  • Eine kurze Erklärung der einzelnen Schwachstellen in Bezug auf eine hybride Active Directory-Identitätsumgebung
  • Verbundene Risiken für die Identitätssicherheit
  • Indikatoren, auf die Sie bei Purple Knight achten sollten. Directory Services Protector

Ich werde die ersten drei Punkte in diesem Beitrag behandeln und dann in den nächsten beiden Teilen der Serie auf die restlichen Fehlkonfigurationen eingehen.

1. Standardkonfigurationen in Software und Anwendungen

Vorgefertigte Einstellungen können ein erhebliches Sicherheitsproblem darstellen. Das liegt vor allem daran, dass sie bekannt und für Produktionsumgebungen oft nicht ausreichend sicher sind.

Die Standardeinstellungen sind in der Regel eher auf eine einfache Bereitstellung und Benutzerfreundlichkeit als auf Sicherheit ausgelegt. Sie können Folgendes umfassen:

  • Einfache Passwörter
  • Unnötig offene Ports
  • Aktivierte Gastkonten
  • Übermäßige Berechtigungen

Diese Unzulänglichkeiten sind besonders gefährlich, wenn es um die Netzwerkinfrastruktur und geschäftskritische Anwendungen wie Active Directory und Entra ID geht.

Risiken für die Identitätssicherheit

Active Directory ist das Repository für alle Netzwerkressourcen, einschließlich Benutzerkonten, Gruppenrichtlinien und Zugriffskontrollen. Wenn es kompromittiert wird, kann es einem Angreifer die "Schlüssel zum Königreich" liefern. Entra ID, das diese Funktionalitäten auf Cloud-Ressourcen ausweitet, kann ebenfalls ein lukratives Ziel sein. Wenn einer der beiden Verzeichnisdienste kompromittiert wird, kann dies katastrophale Auswirkungen haben und zu Datenschutzverletzungen und unbefugtem Zugriff auf sensible Ressourcen führen.

Die Verwendung von Standardkonfigurationen kann zu verschiedenen Sicherheitsrisiken führen, darunter:

  • Unbefugter Zugriff
  • Eskalation von Privilegien
  • Seitliche Bewegung innerhalb des Netzwerks
  • Exfiltration von Daten

Im Zusammenhang mit Active Directory könnte ein Angreifer die Standardeinstellungen ausnutzen, um einen ersten Fuß in die Tür zu bekommen, indem er schwache Standard-Anmeldeinformationen ausnutzt.

Indikatoren für die Exposition und Indikatoren für die Gefährdung

In Purple Knight und Directory Services Protector können die folgenden Indikatoren Sie auf das Vorhandensein oder die Ausnutzung von Standardkonfigurationen hinweisen:

  • Der Druckspooler-Dienst ist auf einem DC aktiviert. In den Windows Druckspooler-Diensten wurden mehrere kritische Schwachstellen gefunden. Diese Schwachstellen betreffen direkt Druckspooler, die auf Domänencontrollern installiert sind, und ermöglichen die Ausführung von Remotecode.
  • Nicht privilegierte Benutzer können Computerkonten zur Domäne hinzufügen. Kerberos-basierte Angriffe können diese Fähigkeit missbrauchen.
  • Anonymer Zugriff auf Active Directory aktiviert. Der anonyme Zugriff kann es nicht authentifizierten Benutzern ermöglichen, Active Directory abzufragen.
  • NTFRS SYSVOL-Replikation. NTFRS ist ein älteres Protokoll, das durch DFSR ersetzt wurde. Angreifer können NTFRS-Schwachstellen ausnutzen, um SYSVOL zu kompromittieren und möglicherweise GPOs und Anmeldeskripte zu ändern, um Malware zu verbreiten und sich seitlich in der Umgebung zu bewegen.
  • Ungesicherte DNS-Konfiguration. Angreifer können diese Art von Konfiguration ausnutzen, um einen neuen DSN-Eintrag hinzuzufügen oder einen bestehenden DNS-Eintrag zu ersetzen, um eine Verwaltungsschnittstelle zu fälschen. Sie können dann auf eingehende Verbindungen warten und Anmeldedaten stehlen.
  • Nicht-Administrator-Benutzer können in Entra ID Tenants erstellen. Schlecht konfigurierte Tenants, die mit Benutzern aus dem übergeordneten Tenant (Organisation) verknüpft sind, sind leichter zu kompromittieren. Solche Tenants werden nicht ordnungsgemäß überwacht oder gesichert.

2. Unzulässige Trennung von Benutzer-/Administratorrechten

Eine unzureichende Trennung der Privilegien ist ein weit verbreitetes Problem in vielen IT-Umgebungen. Diese Praxis führt häufig dazu, dass Benutzern, die sie für ihre täglichen Aufgaben nicht benötigen, administrative Rechte gewährt werden - ein Verstoß gegen das Prinzip der geringsten Privilegien.

Benutzer erhalten in der Regel administrative Rechte, indem sie in privilegierte Gruppen aufgenommen werden (wie z.B. Domänenadministratoren in Active Directory) oder indem ihnen lokaler Administratorzugriff auf ihren Arbeitsstationen gewährt wird. Die Übeltäter sind unterschiedlich:

  • Ältere Zugangsmodelle
  • Bequemlichkeit
  • Schlechte Zugangskontrollen
  • Beaufsichtigung

Das Problem wird noch verschärft, wenn Sie dauerhafte Privilegien gewähren, anstatt sie je nach Bedarf bedingt zu gewähren.

Risiken für die Identitätssicherheit

Diese Fehlkonfiguration macht das gesamte Netzwerk angreifbar. Benutzer mit administrativen Rechten können weitreichende Änderungen an Active Directory vornehmen, die sich auf Gruppenrichtlinien, Sicherheitseinstellungen und andere wichtige Infrastrukturkomponenten auswirken.

Entra ID ist ähnlichen Risiken ausgesetzt. Darüber hinaus könnten integrierte SaaS-Anwendungen und Cloud-basierte Ressourcen kompromittiert werden.

Indikatoren für die Exposition und Indikatoren für die Gefährdung

In Purple Knight und Directory Services Protector können Sie anhand der folgenden Indikatoren auf eine unzulässige Trennung von Berechtigungen aufmerksam gemacht werden:

  • Eingebautes Domänenadministrator-Konto, das in den letzten zwei Wochen verwendet wurde. Achten Sie sorgfältig auf diesen Indikator, da er einen kompromittierten Benutzer anzeigen könnte.
  • Änderungen an der Mitgliedschaft in privilegierten Gruppen in den letzten 7 Tagen. Dieser Indikator kann auf einen Versuch hinweisen, die Privilegien zu erweitern.
  • Computerkonten in privilegierten Gruppen. Wenn ein Computerkonto Mitglied der privilegierten Gruppe der Domäne ist, kann jeder, der das Computerkonto kompromittiert, als Mitglied dieser Gruppe agieren.
  • Aktivierte Administratorkonten, die inaktiv sind. Angreifer, die diese Konten kompromittieren, können dann unbemerkt operieren.
  • Kurzlebige Admins. Solche kurzlebigen Konten könnten auf bösartige Aktivitäten hinweisen.

3. Unzureichende interne Netzwerküberwachung

Diese Fehlkonfiguration ist ein kritisches Versäumnis. Sie kann Ihr Unternehmen anfällig für unentdeckte Eindringlinge, Insider-Bedrohungen und bösartige Aktivitäten machen.

Eine unzureichende interne Netzwerküberwachung kann mehrere Ursachen haben:

  • Mangel an geeigneten Werkzeugen
  • Unzureichende Erfassung des Netzwerkverkehrs
  • Unzureichende Alarmierungsmechanismen
  • Fehlen eines speziellen Teams zur Analyse der Überwachungsdaten

Viele Unternehmen konzentrieren sich auf den Schutz der Außengrenzen. Aber der interne Datenverkehr wird oft vernachlässigt, in der Annahme, dass das interne Netzwerk sicher ist. Dieses Versäumnis ist problematisch. Sobald ein Angreifer den Perimeter durchbrochen hat, kann er sich oft ohne großen Widerstand oder Entdeckung seitlich bewegen.

Insbesondere kritische interne Ressourcen wie Active Directory, das als Rückgrat für die Authentifizierung und Autorisierung in Windows-basierten Umgebungen dient, sind hochwertige Ziele. Ein Mangel an robuster Active Directory-Überwachung kann Ihr Unternehmen blind für interne Anomalien machen, die auf einen Verstoß oder nicht autorisierte Aktivitäten hindeuten.

Risiken für die Identitätssicherheit

In einem Active Directory-Kontext kann diese Fehlkonfiguration dazu führen, dass Indikatoren für eine Kompromittierung übersehen werden, einschließlich:

  • Ungewöhnliche Anmeldeversuche
  • Änderungen an Gruppenrichtlinien
  • Die Erstellung von privilegierten Konten

In Entra ID kann eine unzureichende Überwachung dazu führen, dass der Fang nicht gelingt:

  • Abnormale Anmeldungsaktivitäten
  • Unbefugter Zugriff auf Cloud-Ressourcen
  • Unregelmäßiges Nutzungsverhalten

Diese Risiken können zu Datenschutzverletzungen, Unterbrechungen von Diensten und erheblichen Betriebs- und Reputationsschäden führen.

Indikatoren für die Exposition und Indikatoren für die Gefährdung

Semperis konzentriert sich auf die Bewertung und Verbesserung der Sicherheitslage von Active Directory und Entra ID vor Ort und nicht auf die Überwachung des Netzwerkverkehrs. Unser Hauptziel ist es, Einblicke in die Dynamik innerhalb einer hybriden Active Directory-Umgebung zu geben und diese zu identifizieren:

  • Welche Änderungen werden vorgenommen
  • Wer initiiert die Änderungen
  • Die Art der Benutzeraktivitäten

Purple Knight führt eine punktgenaue Bewertung der hybriden Active Directory-Umgebung durch. Das Tool liefert dann eine nach Prioritäten geordnete Liste von Sicherheitsindikatoren und Anleitungen für Abhilfemaßnahmen.

Directory Services Protector führt eine kontinuierliche Überwachung kritischer Identitätskomponenten wie Gruppenrichtlinienobjekte (GPO) und Zugriffsberechtigungen durch. Durch die kontinuierliche Überwachung Ihrer Active Directory-Sicherheitslage können Sie feststellen, ob sich Ihre Sicherheitslage verbessert oder verschlechtert. Sie können auch ein automatisches Rollback von verdächtigen Änderungen sowie benutzerdefinierte Auslöser und Warnungen konfigurieren.

Zögern Sie nicht - überprüfen Sie Active Directory noch heute

Das war's für diesen Beitrag. Der nächste Beitrag in dieser Serie befasst sich mit den Active Directory-Implikationen der nächsten vier Punkte in der Liste der zehn wichtigsten Cybersecurity-Fehlkonfigurationen von CISA und NSA. LadenSie in der Zwischenzeit Purple Knight herunter- es ist kostenlos - und prüfen Sie, ob Ihr Unternehmen durch die in dieser Woche besprochenen Indikatoren gefährdet ist.

Mehr lesen