"Five Eyes"-Staaten: Tipps zur Verbesserung von Active-Directory-Sicherheit

IT-Sicherheitsbehörden der sogenannten Five-Eyes-Staaten Australien, Großbritannien, Kanada, Neuseeland und den USA haben einen Ratgeber veröffentlicht, der Organisationen bei der Absicherung ihrer Active Directories (AD) helfen soll. Insgesamt 17 übliche Techniken, die Angreifer zum Kompromittieren von ADs einsetzen, stellen sie unter anderem auf 68 Seiten vor.

Das englischsprachige PDF stellt dabei die einzelnen Angriffe vor, wie bösartige Akteure sie einsetzen, und empfiehlt Strategien, diese Attacken abzuwehren. Die Umsetzung der empfohlenen Maßnahmen helfe Organisationen, ihre AD-Sicherheit signifikant zu verbessern und Einbrüche durch Cyberkriminelle zu verhindern.

Schutz des Active Directory

Die Autoren führen aus, dass Microsofts Active Directory die weit verbreitetste Lösung zur Authentifizierung und Autorisierung in der Enterprise-IT ist, und das global. AD bietet mehrere Dienste, einschließlich Active Directory Domain Services (AD DS), Active Directory Federation Services (AD FS) und Active Directory Certificate Services (AD CS). Diese böten wiederum mehrere Authentifizierungsoptionen wie Smart-Card-Log-ins oder Single Sign-on mit On-Premises- oder cloudbasierten Diensten. Aufgrund dieser herausragenden Rolle in der Authentifizierung und Autorisierung sind ADs ein wertvolles Ziel für bösartige Akteure. Sie greifen ADs routinemäßig im Rahmen bösartiger Aktivitäten in Unternehmensnetzen an.

Active Directory ist aufgrund seiner laxen Standardeinstellungen, komplexen Beziehungen und Berechtigungen, der Unterstützung von veralteten Protokollen und dem Mangel von Werkzeigen zur Erkennung von AD-Sicherheitsproblemen anfällig für Kompromittierung, stellen die IT-Experten aus dem internationalen Zusammenschluss fest. Da jeder Nutzer im AD ausreichend Rechte zum Erkennen und Ausnutzen von Schwachstellen innehat, ist die Angriffsfläche von ADs immens groß und sie lasse sich schwer verteidigen. Das begünstigen die Komplexität und Undurchsichtigkeit der Beziehungen zusätzlich, die in einem AD zwischen unterschiedlichen Nutzern und Systemen bestehen. Oftmals würden diese versteckten Beziehungen von Organisationen übersehen und von Angreifern missbraucht, um vollständige Kontrolle über das Netzwerk einer Organisation zu erhalten.

Mit dem Erlangen der Kontrolle über ein AD erhalten Angreifer privilegierten Zugriff auf alle Systeme und Nutzer, die das AD verwaltet. Mit diesen erweiterten Zugriffsrechten können Angreifer andere Kontrollen umgehen und auf Systeme zugreifen, einschließlich E-Mail- und Datei-Server sowie beliebig auf kritische Geschäftsanwendungen. Oftmals lasse sich der Zugriff auf cloudbasierte Systeme und Dienste über Microsofts cloudbasierte Identitäts- und Zugriffs-Lösung Entra-ID ausweiten. Durch den Zugang ins AD können bösartige Akteure viele Ziele verfolgen, seien es das Erlangen finanziellen Gewinns oder staatliche Cyberspionage, um den erweiterten Zugriff zu erlangen, den sie zum Erreichen ihrer bösartigen Ziele im Opfer-Netzwerk benötigen.

Angreifer können diesen AD-Zugriff für persistenten Zugriff in Organisationen missbrauchen; einige Techniken erlauben bösartigen Akteuren, sich aus der Ferne in der Organisation einzuloggen und dabei sogar Multi-Faktor-Authentifizierung zu umgehen. Viele dieser Techniken seien resistent gegen Abwehrmaßnahmen im Rahmen von Incident-Response-Aktivitäten. Fortgeschrittene Einbrecher können so Monate oder Jahre in ADs lauern. Um sie wieder loszuwerden, sind teils drastische Maßnahmen nötig, etwa das Zurücksetzen aller Nutzerpasswörter oder der komplette Neuaufbau des ADs selbst. Daher sollten Organisationen die in der Anleitung vorgestellten Maßnahmen umsetzen, um das AD vor bösartigen Akteuren zu schützen.

Die IT-Sicherheitsbehörden stellen dazu einige kommerzielle und Open-Source-Tools vor, mit denen Organisationen ihr AD durchleuchten und besser verstehen können; Tools, die etwa auch Angreifer einsetzen, um sich im AD umzusehen. Daran schließen sich dann die Vorstellung einzelner Angriffe und der möglichen Schutzmaßnahmen davor an. Admins sollten einen Blick auf das Dokument werfen, ob in den ADs unter ihrer Aufsicht ausreichend viele Gegenmaßnahmen bereits umgesetzt werden.

(dmk)