Inter-Forest und Persistenz: Wie Angreifer sich über einen AD-Forest hinaus ausbreiten und festsetzen

Zwischen den Wäldern

Yves Kraft, Frank Ully

Eigentlich hatte Microsoft in seinem Active-Directory-Design den Forest als Sicherheitsgrenze vorgesehen. Doch Fehlkonfigurationen sowie eine zu großzügige Vergabe von Rechten können dazu führen, dass das AD kompromittiert wird.

iX-tract

Obwohl Microsoft die Gesamtstruktur (Forest) als eine Sicherheitsgrenze implementiert hat, können AD-Kompromittierungen sich durch unsichere Konfiguration, großzügig vergebene Rechte oder Forest-übergreifend verkettete Komponenten unter Umständen von einer Gesamtstruktur auf eine andere ausbreiten.
Über Missbrauch der SID-Historie und das Fälschen von Tickets erlangen Angreifer in einer Privilegieneskalation höhere Rechte und können sich überdies den dauerhaften Zugriff auf die angegriffene Umgebung sichern, selbst wenn der ursprüngliche Zugriff verloren geht.
Für Persistenz gibt es unzählige Wege, die nicht alle verlässlich erkannt und entfernt werden können. Um einem kompromittierten Active Directory wieder vertrauen zu können, muss der komplette Forest neu aufgebaut werden.

Der siebte Artikel der Active-Directory-Reihe zeigt ergänzend zu den vorigen Beiträgen, dass es selbst zwischen Forests durch unsichere Konfiguration, großzügig vergebene Rechte oder Forest-übergreifend verkettete Komponenten einem Angreifer gelingen kann, von einer Gesamtstruktur auf die andere überzuspringen. Schließlich hat er viele Möglichkeiten, seinen Zugriff auf ein AD dauerhaft und vom Opfer mehr oder weniger unbemerkt zu sichern.

Miteinander verbundene Wälder

Wie in der iX-Ausgabe 2/2021 [1] dargestellt bildet die Gesamtstruktur, auf Englisch Forest genannt, die Sicherheitsgrenze in AD-Umgebungen. Ein Mitglied der Gruppe Organisationsadministratoren (Enterprise-Admins), die es nur in der Stammdomäne gibt, hat administrativen Zugriff auf alle anderen Domänen, weil diese Gruppe auf allen Domänencontrollern (DC) lokale Administratorrechte besitzt. Aber wie im vorigen Artikel beschrieben kann auch ein Administrator einer Domäne alle anderen Domänen in einem Forest kompromittieren.