IT-Security: Infobeschaffung im Active Directory - vom Domänenbenutzer zum Admin
In Systemen hinterlegte Informationen bieten Ansatzpunkte, in ein Netzwerk einzudringen. Von da ist es ein kleiner Schritt, sich weitere Rechte zu verschaffen.
- Frank Ully
In diesem Artikel zur Sicherheit des Active Directory (AD) geht es darum, wie Angreifer durch gezielte Informationsbeschaffung – unangemeldet oder als normal privilegierte Domänenbenutzer – schnell höhere Rechte im AD erlangen können; all dies mit Funktionen und Tools, die leicht verfügbar sind oder von Windows mitgeliefert werden.
Wie im Grundlagenartikel zum Active Directory beschrieben, muss man nach dem "Assume Breach"-Ansatz davon ausgehen, dass es Angreifern keine Schwierigkeiten bereitet, einen beliebigen Windows-Client in einem Unternehmen zu kompromittieren und von dort Befehle auszuführen.
Aber auch ein gekaperter Linux-Server, der über eine klassische Softwareschwachstelle geentert wurde, an ein Active Directory angebunden ist und entgegen allen Good Practices nicht ausreichend vom internen Netzwerk abgeschirmt in einer demilitarisierten Zone (DMZ) steht, ist ein guter Ausgangspunkt.