Zu verstehen, wie es zu Angriffen kommt, ist ein grundlegender Bestandteil der Cybersicherheitsverteidigung. Vor diesem Hintergrund habe ich kürzlich zusammen mit Andy Robbins, dem Miterfinder des Open-Source-Tools zur Ermittlung von Angriffspfaden, BloodHound, ein Webinar gehalten, in dem erläutert wurde, wie Angreifer Active Directory (AD) angreifen.
Während der Präsentation haben wir eine unbequeme Wahrheit ans Licht gebracht: Das Zentrum der Identitätsdienste von Unternehmen ist jetzt ein reifes, saftiges Stück niedrig hängender Früchte. Es sollte nicht überraschen, dass Active Directory für Angreifer von Interesse ist, aber wie sehr es zu einem weichen Ziel geworden ist, wird oft unterschätzt-Wahrscheinlich, weil sein Status als schwaches Glied in der Sicherheitskette nicht auf öffentlichkeitswirksame Code-Schwachstellen zurückzuführen ist. Tatsächlich sind in vielen Fällen die weitesten Türen für Angreifer die Türen, die durch gängige Bereitstellungskonfigurationen und Verwaltungsfehler geöffnet werden.
Warum AD ein weiches Ziel ist
Tatsache ist, dass AD nicht mit Blick auf die modernen Sicherheitsanforderungen entwickelt wurde. In der Vergangenheit haben sich Pen-Tester und Angreifer gleichermaßen auf serverseitige Exploits verlassen, um Systeme zu kompromittieren. Wenn sie erst einmal drin waren, benutzten sie gewöhnliche lokale Administratorkennwörter, um sich seitlich im Netzwerk zu bewegen. Heute stehen ihnen zuverlässigere Techniken zur Verfügung, bei denen das Risiko, entdeckt zu werden oder einen Systemabsturz zu verursachen, geringer ist. Diese Techniken nutzen Tools wie BloodHound und missbrauchen integrierte Protokolle im Windows-Betriebssystem und AD selbst.
BloodHound kann beispielsweise auf Active Directory gerichtet werden und dazu verwendet werden, Angriffspfade zu identifizieren und den einfachsten Weg für Bedrohungsakteure zu finden, ihre Privilegien in einer Umgebung zu erhöhen. Dies ist möglich, weil Domänenbenutzer standardmäßig Lesezugriff auf jedes Objekt im AD haben. Leider ist es in vielen Unternehmen aufgrund der Komplexität der Anwendungen und der Infrastruktur schwierig, den Zugriff auf Objekte zu unterbinden, die für Angreifer interessant sein könnten, so dass Angreifern Tür und Tor für ihre Erkundungen offen stehen.
Das ist die Realität bei der Sicherung von AD. Während codebezogene Schwachstellen durch die schnellstmögliche Anwendung der neuesten Sicherheitsupdates behoben werden können, ist die Art und Weise, wie AD in einer Umgebung eingesetzt wird, oft die größte Herausforderung für die Sicherheit. Die Herausforderungen, mit denen sich Unternehmen konfrontiert sehen, nehmen mit zunehmender Komplexität der AD-Umgebung zu. Wenn Benutzer und Gruppen hinzugefügt oder gelöscht werden, steigt die Wahrscheinlichkeit, dass es zu Fehlkonfigurationen kommt, während das IT-Team daran arbeitet, konsistente Einstellungen und Richtlinien aufrechtzuerhalten, weiter an. Diese Fehler können viele Formen annehmen, von uneingeschränkter Delegation bis hin zur Nichtberücksichtigung vererbter Berechtigungen bei der Verschachtelung einer Gruppe.
Aber wie das Sprichwort sagt, ist eine Unze Prävention mehr wert als ein Pfund Heilung. Die Absicherung von Active Directory bedeutet mehr als nur Patches. Es bedeutet auch, Türen zu schließen, die durch Probleme wie eine schlechte Gruppenverwaltung geöffnet wurden, und dazu müssen Unternehmen wissen, worauf sie achten müssen.
Risikoreduzierung durch Sichtbarkeit
Die kritischsten Probleme sind diejenigen, die Angreifern die Ausweitung von Privilegien und Seitwärtsbewegungen ermöglichen könnten. Betrachten Sie zwei gängige Angriffe.
Erster Vorfall: Angreifer zielen auf den AdminSDHolder Objekt. Die Angreifer versuchen, die Zugriffskontrollliste (ACL) zu ändern, um die Berechtigungen für privilegierte Objekte über AdminSDHolder. Bei Erfolg würde dies jedem Konto, das sie der ACL hinzugefügt haben, die Rechte anderer Konten in einer Gruppe verleihen.
Zweiter Vorfall: Eindringlinge starten Golden-Ticket-Angriffe. Golden Ticket-Angriffe zielen auf Kerberos, und beinhalten Angreifer, diedie sich den Passwort-Hash des krbtgt Kontos erlangt haben, ein Anmeldeticket fälschen, um ihre Privilegien zu erweitern und sich bei jedem Dienst als beliebiger Benutzer anzumelden.
Im Kern besteht die Verteidigung gegen diese und andere Angriffe in der Überwachung des AD auf verdächtige Aktivitäten. Um das effektiv zu tun, ist es wichtig, Informationen über die Taktiken der Angreifer zu nutzen. Die Verringerung der Bedrohungslandschaft durch Maßnahmen wie die Überprüfung von Berechtigungen und die Anwendung des Prinzips der geringsten Privilegien in AD-Gruppen, die Verwendung komplexer Passwörter und die Sicherstellung, dass Sicherheitsupdates für AD-Server hohe Priorität erhalten, ist nur ein Teil der Gleichung für eine starke Verteidigung. Der andere Teil ist die Fähigkeit, Bedrohungen zu erkennen und dynamisch auf sie zu reagieren, sobald sie auftreten.
Semperis hat vor kurzem damit begonnen, seinen Kunden zu helfen, diese technologische Herausforderung zu meistern. Im Juni haben wir Directory Services Protector (DSP) v3.0 veröffentlicht, das eine kontinuierliche Überwachung und Bewertung von Schwachstellen bietet. DSP scannt Active Directory auf Anzeichen für eine Gefährdung und ordnet die Schwachstellen dann nach ihrem Risiko ein. Diese Fähigkeit wird durch eine Kombination aus eingebauten Bedrohungsdaten und Hinweisen von einer Gemeinschaft von Sicherheitsforschern weiter verbessert. Wenn neue Bedrohungen aufgedeckt werden, werden zusätzliche Sicherheitsindikatoren dynamisch hinzugefügt, so dass neue Angriffstechniken erkannt werden.
Bewaffnet mit den aktuellsten Informationen über Bedrohungen, Semperis DSP die neue Funktion zur automatischen Wiederherstellung nutzen, um kritische betriebliche oder sicherheitsrelevante Änderungen ohne Zutun eines Administrators rückgängig zu machen. Mit der automatischen Wiederherstellung kann Ihr Unternehmen verdächtige Änderungen rückgängig machen und weiteren Schaden verhindern, bevor er entsteht. Außerdem können Unternehmen damit Änderungen und Löschungen in allen AD-Partitionen und Gruppenrichtlinienobjekten erkennen, selbst wenn der Angreifer die Protokollierung umgeht.
Prävention in Aktion
Die gute Nachricht bei der Sicherung von AD ist, dass die Mittel zur Verhinderung von Angriffen direkt vor unserer Nase liegen. Auf Semperishaben wir aktualisieren regelmäßig eine umfassende Liste von Bedrohungsindikatoren, mit denen Unternehmen die Tür zu den Sicherheitslücken schließen können, auf die Angreifer so scharf sind. Nehmen Sie zum Beispiel die jüngsten Änderungen an der Standard-Domänenrichtlinie oder den Standard-Domänencontrollern Controllern Richtlinie GPOs. Diese Art der Änderung kann ein Zeichen dafür sein, dass Angreifer in der Umgebung aktiv sind, da diese Gruppenrichtlinien-Objekte (GPOs) die Sicherheitseinstellungen steuern und dazu verwendet werden können, privilegierten Zugriff auf AD zu erhalten. Ein weiteres Beispiel ist eine unerwartete Änderung des Standard-Sicherheitsdeskriptor Attribut einer einer Objektklasse im Schema-ein lohnendes Ziel für Angreifer, da alle Änderungen auf neu erstellte Objekte übertragen werden können.
Die Verwendung von Bedrohungsindikatoren zur Unterstützung der Überwachungsmaßnahmen verbessert die Wirksamkeit der Sicherheitskontrollen rund um AD. In Kombination mit der Möglichkeit, Änderungen rückgängig zu machen und Schwachstellenbewertungen durchzuführen, die Benutzerkonten mit riskanten Kontrollen kennzeichnen, verringert sich die Wahrscheinlichkeit, dass sich bösartiges Verhalten auf AD auswirkt und unentdeckt bleibt.
Bedrohungsakteure nehmen den Weg des geringsten Widerstands, um ihre Ziele zu erreichen. Solange die Eingangstür aufgrund von Fehlkonfigurationen oder der Funktionsweise von AD offen ist, werden Angreifer sich Ihrem Unternehmen weiter nähern'Türschwelle Ihres Unternehmens. Um AD zu härten, müssen IT-Teams Informationen über die Taktiken ihrer Gegner nutzen und ihre Sicherheitsanstrengungen darauf konzentrieren, den Angreifern so viele digitale Hürden wie möglich in den Weg zu legen.
