Sicherheit im Active Directory: Wie sich Angreifer über einen Forest ausbreiten
Ein Forest soll als Sicherheitsgrenze im Active-Directory-Design dienen. Angreifer kommen jedoch an Fehlkonfigurationen und zu großzügiger Rechtevergabe vorbei.
- Yves Kraft
- Frank Ully
Einem Angreifer kann es selbst zwischen Forests durch unsichere Konfiguration, großzügig vergebene Rechte oder Forest-übergreifend verkettete Komponenten gelingen, von einer Gesamtstruktur auf die andere überzuspringen. Schließlich hat er viele Möglichkeiten, seinen Zugriff auf ein AD dauerhaft und vom Opfer mehr oder weniger unbemerkt zu sichern.
Wie im Artikel "Wie Angreifer Tickets, Delegierung und Trust missbrauchen" dargestellt bildet die Gesamtstruktur, auf Englisch Forest genannt, die Sicherheitsgrenze in AD-Umgebungen. Ein Mitglied der Gruppe Organisationsadministratoren (Enterprise-Admins), die es nur in der Stammdomäne gibt, hat administrativen Zugriff auf alle anderen Domänen, weil diese Gruppe auf allen Domänencontrollern (DC) lokale Administratorrechte besitzt. Aber wie im vorigen Artikel beschrieben kann auch ein Administrator einer Domäne alle anderen Domänen in einem Forest kompromittieren.
Doch selbst wenn unterschiedliche Umgebungen in verschiedene Gesamtstrukturen getrennt sind, bestehen für einen produktiven Einsatz oft Vertrauensstellungen (Trusts) zwischen den Forests – oder externe Trusts zwischen einzelnen Domänen in unterschiedlichen Strukturen. Dies kann es Angreifern ermöglichen, die Sicherheitsbarriere beispielsweise zwischen dem Forest mit der Stammdomäne ad.2consult.ch und dem Forest office.threeconsult.ch zu überspringen.
