Inter-Forest und Persistenz: Wie Angreifer sich über einen AD-Forest hinaus ausbreiten und festsetzen
Zwischen den Wäldern
Eigentlich hatte Microsoft in seinem Active-Directory-Design den Forest als Sicherheitsgrenze vorgesehen. Doch Fehlkonfigurationen sowie eine zu großzügige Vergabe von Rechten können dazu führen, dass das AD kompromittiert wird.
Der siebte Artikel der Active-Directory-Reihe zeigt ergänzend zu den vorigen Beiträgen, dass es selbst zwischen Forests durch unsichere Konfiguration, großzügig vergebene Rechte oder Forest-übergreifend verkettete Komponenten einem Angreifer gelingen kann, von einer Gesamtstruktur auf die andere überzuspringen. Schließlich hat er viele Möglichkeiten, seinen Zugriff auf ein AD dauerhaft und vom Opfer mehr oder weniger unbemerkt zu sichern.
Miteinander verbundene Wälder
Wie in der iX-Ausgabe 2/2021 [1] dargestellt bildet die Gesamtstruktur, auf Englisch Forest genannt, die Sicherheitsgrenze in AD-Umgebungen. Ein Mitglied der Gruppe Organisationsadministratoren (Enterprise-Admins), die es nur in der Stammdomäne gibt, hat administrativen Zugriff auf alle anderen Domänen, weil diese Gruppe auf allen Domänencontrollern (DC) lokale Administratorrechte besitzt. Aber wie im vorigen Artikel beschrieben kann auch ein Administrator einer Domäne alle anderen Domänen in einem Forest kompromittieren.