IT-Sicherheit härten: Wie ein Auftragshacker ins Active Directory eindringt
Im Folgenden schildert ein Pentester, wie er mit Zugriff auf ein System im Netzwerk schrittweise seine Berechtigungen ausweitet und so Schwachstellen aufdeckt.
- Adrian Vollmer
An einem Vormittag im August 2022 – ich habe gerade gefrühstückt – klingelt mein Telefon. Am anderen Ende sitzt der Chef der IT-Abteilung eines Automobilzulieferers aus Süddeutschland. Mit ihm hatte ich zwei Wochen vorher bereits via E-Mail Kontakt. Er würde mich gerne mit einem Pentest beauftragen, so viel weiß ich bereits. Ein Pentest kann vieles sein, das Spektrum reicht von Sicherheitsanalysen einzelner Anwendungen oder Systeme bis hin zur Simulation zielgerichteter Angriffe.
In der IT-Branche hat sich in den vergangenen Jahren eine Einstellung verbreitet, die auch als "Assume Breach"-Mentalität bekannt ist. Man geht pessimistisch davon aus, einen Eindringling im Netzwerk zu haben. Zugang verschaffen können sich Angreifer zum Beispiel über Phishing, kritische Sicherheitslücken in Open-Source-Projekten wie in Log4j oder verseuchte Updates gekaufter Software, wie im Fall von Solarwinds 2020 oder Kaseya 2021. Im Telefonat schildert der Anrufer, was er sich vorstellt. Anders als bei einem Blackbox-Test soll ich nicht versuchen, in das Unternehmensnetzwerk einzubrechen. Mein Ausgangspunkt soll dem "Assume Breach"-Gedanken folgend ein anderer sein: Ich bin bereits drin.
Der Pentest soll aufzeigen, ob und wie weit ein Angreifer, der bereits Zugriff auf das interne Netzwerk hat, zu den höchsten Berechtigungsstufen vordringen könnte. Ziel ist es, Schwachstellen im Netzwerk zu identifizieren, sodass mein Auftraggeber an den betreffenden Stellen in puncto IT-Sicherheit nachjustieren kann.
Das war die Leseprobe unseres heise-Plus-Artikels "IT-Sicherheit härten: Wie ein Auftragshacker ins Active Directory eindringt". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.