Active Directory: Wie Angreifer Tickets, Delegierung und Trusts missbrauchen

Besonders tückisch beim Active Directory ist, was im Zusammenhang mit Vertrauen und Rechten steht. Fehlkonfigurationen bieten ein hohes Missbrauchspotenzial.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Lesezeit: 27 Min.
Von
  • Frank Ully
Inhaltsverzeichnis
Sicherheit im Active Directory

Folgender Artikel geht darauf ein, wie sich Angreifer mit den Datenschätzen, die sie bei der Erforschung des AD (Enumeration) angehäuft haben, höhere Rechte verschaffen. Fehlkonfigurationen bei den verschiedenen Arten der Delegierung werden gezeigt und eine neue Variante bekannter Angriffe wie Net-NTLM-Relaying wird vorgestellt. Zudem wird erklärt, wie leicht Angreifer mit Administratorrechten in einer Domäne deren Grenze überschreiten und alle Domänen innerhalb der AD-Gesamtstruktur kompromittieren.

Beim Pass-the-Hash-Angriff missbraucht ein Angreifer den NT-Passwort-Hash, bei Overpass the Hash alternativ einen AES-Kerberos-Schlüssel – beide dienen äquivalent zu Passwörtern dem Zugriff auf entfernte Ressourcen. Ebenso können Kerberos-Tickets gestohlen und wiederverwendet werden, um Zugang zu einem anderen Rechner oder Netzwerkressourcen zu erhalten.

Bei Authentifizierung mit dem Kerberos-Protokoll liefert ein Ticket Granting Ticket (TGT) den Nachweis, dass ein Benutzer derjenige ist, für den er sich ausgibt. Der Domänencontroller (DC), der Authentifizierungsanfragen verifiziert, nimmt Anfragen für den Zugang zu Diensten entgegen, validiert das TGT und verpackt die darin angegebenen Rechteinformationen in einem Serviceticket (Ticket Granting Service; TGS). Dann verschlüsselt er es, sodass nur der DC und der Dienst das Ticket entschlüsseln können. Kann der Dienst das Serviceticket entschlüsseln und validieren und ist der Benutzer berechtigt, erhält er Zugriff auf die angeforderte Ressource.