Windows AD: vor und nach dem Hack
Die Erfahrungen von Forensikexperten zeigen, dass viele Angriffe vor allem auch mit Ransomware direkt auf das Active Directory zielen, um schnell und vor allem automatisiert an die nötigen Berechtigungen zu kommen. Umso wichtiger ist eine gute Prävention sowie ein Notfallplan.
Über viele Angriffe auf Unternehmen erhält man nur sehr oberflächliche Informationen, gerade wenn Ransomware im Spiel ist. Deswegen ist es wichtig, typische Angriffsszenarien, Vorkehrungen zur Überwachung und Absicherungsmaßnahmen zu kennen. Aufgrund der Vielzahl denkbarer Kombinationen lässt sich dazu lediglich ein allgemeiner Ratgeber erstellen, wie man die eigene Infrastruktur absichert. Wegen der großen Anzahl möglicher Infrastrukturarchitekturen müssen die Aussagen immer auf die jeweilige Infrastruktur heruntergebrochen werden.
Typische Angriffsszenarien
Die meisten bekannten Kompromittierungen basieren auf sich wiederholenden Angriffsmustern. Bei einigen davon ist es schwierig, proaktiv eine Attacke zu verhindern: Ein Fehler von Microsoft hat beispielsweise Ende 2020 eine große Anzahl von Exchange-Servern zu Einfallstoren in das Active Directory (AD) gemacht. Diese Lücke wurde landläufig als Hafnium bezeichnet. Die zu spät veröffentlichten Sicherheitsupdates bewirkten, dass viele Systeme über einen viel zu langen Zeitraum angreifbar waren, sodass einzig und allein das Trennen der Systeme vom Netz half. Dabei fehlten aber häufig Prozesse, die eine so rabiate Methode regeln und Verantwortlichkeiten festlegen. Darüber hinaus mangelte es oft an Knowhow, die Patches zeitnah und sauber zu implementieren. So kam es zur unglücklichen Allianz schlecht reagierender Hersteller und mangelhafter Prozesse auf Unternehmensseite.
