Kerberoasting: Wie Angreifer das Active Directory und Kerberos ausnutzen
In der aktuellen Dezember-iX finden Administratoren einen Überblick zu Angriffen aufs Active Directory. Eine prominente Rolle spielt hierbei Kerberos.
Microsofts Verzeichnisdienst stellt in vielen Unternehmen einen zentralen Bestandteil der IT-Infrastruktur dar – im guten wie im schlechten Sinne, denn Angreifer können die hier vorgehaltenen Informationen und die Rechte für sich ausnutzen. Wie sich Security-Administratoren dagegen wappnen können, erklärt Frank Ully in der aktuellen iX 12/2020.
Ein beliebtes Angriffsziel sind falsch konfigurierte Freigaben, mit denen sich Hacker höhere Rechte im Active Directory verschaffen können. Das Authentifizierungsprotokoll Kerberos weist zahlreiche solcher Einstiegspunkte auf: Zugangsdaten lassen sich durch Brute Force, mit Wörtlisten oder einem Passwortcracker ergattern.
Dieses Vorgehen nennt man Kerberoasting. Aber auch andere Bereiche der AD-Infrastruktur sind anfällig für Angriffe: Ein komplexes Vorgehen ist zum Beispiel der Weg über Druckoperatoren, also Nutzer mit Privilegien zum Einrichten neuer Drucker. Einmal an diese Rechte gelangt, lassen sich die für Drucker notwendigen Treiber durch Schadsoftware ersetzen.
Viele Details und Praxisbeispiele zu diesen und weiteren Angriffen aufs Active Directory finden Leser im Artikel:
- Netzwerksicherheit: Roasting, Rechte, Richtlinien: Wie Angreifer sich im Active Directory Zugriff verschaffen; iX 12/2020, S. 92.
(fo)
