IT-Sicherheit härten: Wie ein Auftragshacker ins Active Directory eindringt

Im Folgenden schildert ein Pentester, wie er mit Zugriff auf ein System im Netzwerk schrittweise seine Berechtigungen ausweitet und so Schwachstellen aufdeckt.

Artikel verschenken

70

(Bild: Rudolf A. Blaha)

16.05.2023, 13:30 Uhr

Lesezeit: 31 Min.

c't Magazin

Von

Adrian Vollmer

IT-Sicherheit härten: Wie ein Auftragshacker ins Active Directory eindringt
Tag 1: Kontrolle über Linux-Rechner erhalten
Tag 2: Active-Directory-Domänenkonto geknackt
Tag 3: In Konto zur Serveradministration gefunden
Tag 4: Admin-Rechte auf mehreren Serversystemen erhalten
Tag 5: Zahlen, bitte
Fazit

Artikel in c't 13/2023 lesen

An einem Vormittag im August 2022 – ich habe gerade gefrühstückt – klingelt mein Telefon. Am anderen Ende sitzt der Chef der IT-Abteilung eines Automobilzulieferers aus Süddeutschland. Mit ihm hatte ich zwei Wochen vorher bereits via E-Mail Kontakt. Er würde mich gerne mit einem Pentest beauftragen, so viel weiß ich bereits. Ein Pentest kann vieles sein, das Spektrum reicht von Sicherheitsanalysen einzelner Anwendungen oder Systeme bis hin zur Simulation zielgerichteter Angriffe.

In der IT-Branche hat sich in den vergangenen Jahren eine Einstellung verbreitet, die auch als "Assume Breach"-Mentalität bekannt ist. Man geht pessimistisch davon aus, einen Eindringling im Netzwerk zu haben. Zugang verschaffen können sich Angreifer zum Beispiel über Phishing, kritische Sicherheitslücken in Open-Source-Projekten wie in Log4j oder verseuchte Updates gekaufter Software, wie im Fall von Solarwinds 2020 oder Kaseya 2021. Im Telefonat schildert der Anrufer, was er sich vorstellt. Anders als bei einem Blackbox-Test soll ich nicht versuchen, in das Unternehmensnetzwerk einzubrechen. Mein Ausgangspunkt soll dem "Assume Breach"-Gedanken folgend ein anderer sein: Ich bin bereits drin.

Der Pentest soll aufzeigen, ob und wie weit ein Angreifer, der bereits Zugriff auf das interne Netzwerk hat, zu den höchsten Berechtigungsstufen vordringen könnte. Ziel ist es, Schwachstellen im Netzwerk zu identifizieren, sodass mein Auftraggeber an den betreffenden Stellen in puncto IT-Sicherheit nachjustieren kann.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Innovative,Ai,Robot,Tutor,Helping,A,Teenage,Boy,With,Homework,

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Viele prominente Websites bieten das sichere Einloggen per Passkey an. Die Eingabe des Passworts fällt flach und Phishing gehört der Vergangenheit an.

Passkeys in eigenen Anwendungen

Multi-Faktor-Authentifizierung im Unternehmen implementieren

Passwörter allein genügen nicht gegen Angriffe. Um Anwendungen zu schützen, müssen Firmen MFA nutzen. Tools wie Amazon Cognito helfen.

Dauertest Audi e-tron: Was toll ist, was besser ginge und was unfassbar nervt

Der Audi e-tron fährt im Alltag so überzeugend, dass ein Verbrenner als Nachfolger nicht mehr denkbar ist. Aber es bleibt noch einiges zu tun.

Das Musikprogramm Ableton Live 12 im Test

Die Schlagwortsuche und die einfachen Möglichkeiten, Skalen und Stimmungen zu wechseln, beschleunigen die Arbeit mit dieser digitalen Audio-Workstation.

Copilot-Alternativen: Welche KI bei Office-Aufgaben besser helfen kann

Microsofts Copilot ist erst frisch im Dienst und kennt noch nicht viele Tricks. Daher kann es sinnvoll sein, dass Sie sich eine andere KI in Ihr Office holen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Viele prominente Websites bieten das sichere Einloggen per Passkey an. Die Eingabe des Passworts fällt flach und Phishing gehört der Vergangenheit an.

Passkeys in eigenen Anwendungen

Multi-Faktor-Authentifizierung im Unternehmen implementieren

Passwörter allein genügen nicht gegen Angriffe. Um Anwendungen zu schützen, müssen Firmen MFA nutzen. Tools wie Amazon Cognito helfen.

Dauertest Audi e-tron: Was toll ist, was besser ginge und was unfassbar nervt

Der Audi e-tron fährt im Alltag so überzeugend, dass ein Verbrenner als Nachfolger nicht mehr denkbar ist. Aber es bleibt noch einiges zu tun.

Das Musikprogramm Ableton Live 12 im Test

Die Schlagwortsuche und die einfachen Möglichkeiten, Skalen und Stimmungen zu wechseln, beschleunigen die Arbeit mit dieser digitalen Audio-Workstation.

Copilot-Alternativen: Welche KI bei Office-Aufgaben besser helfen kann

Microsofts Copilot ist erst frisch im Dienst und kennt noch nicht viele Tricks. Daher kann es sinnvoll sein, dass Sie sich eine andere KI in Ihr Office holen.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

IT-Sicherheit härten: Wie ein Auftragshacker ins Active Directory eindringt

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Multi-Faktor-Authentifizierung im Unternehmen implementieren

Dauertest Audi e-tron: Was toll ist, was besser ginge und was unfassbar nervt

Das Musikprogramm Ableton Live 12 im Test

Copilot-Alternativen: Welche KI bei Office-Aufgaben besser helfen kann

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Multi-Faktor-Authentifizierung im Unternehmen implementieren

Dauertest Audi e-tron: Was toll ist, was besser ginge und was unfassbar nervt

Das Musikprogramm Ableton Live 12 im Test

Copilot-Alternativen: Welche KI bei Office-Aufgaben besser helfen kann

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.