Meldung

Sicherheitsrisiko Active Directory

Das Active Directory ist eine der meistgenutzten Technologien zur Administration von Gruppen und Benutzern in IT-Netzwerken. Sie dient als Verwaltungsoberfläche für Windows-Domain-Netzwerke und wird zur Authentifizierung und Autorisierung sämtlicher Benutzer und Rechner verwendet. Dies macht das Active Directory aber auch zu einem attraktiven Ziel für Bedrohungsakteure – und in vielen Unternehmen ist da Bewusstsein hierfür noch ausbaufähig.
Das Active Directory kann im schlimmsten Fall Angreifern bei der Infiltration des Netzwerks helfen.
Sobald Angreifer im Active Directory eines Unternehmens Stellung bezogen haben, können sie eine Vielzahl von böswilligen Aktivitäten durchführen. Angreifer können es als Stützpunkt verwenden, um Malware zu verteilen, neue Benutzerkonten zu erstellen und dem Netzwerk neue Rechner hinzuzufügen. Sie können beispielsweise neue Benutzer mit Administratorrechten anlegen, neue Clients zur Domain hinzufügen, Ransomware im gesamten Netzwerk bereitstellen, sensible Systeme kompromittieren, sensible Daten entwenden und vieles mehr.

Durch alleinige Kompromittierung eines einzigen Assets in der Domain könnte ein Angreifer in der Lage sein, Rechte auszuweiten und sich seitwärts im gesamten System fortzubewegen. Die Administration des Active Directory kann sich für IT-Teams jedoch als komplexe und herausfordernde Aufgabe erweisen, und ebenso kompliziert kann die Absicherung für Sicherheitsexperten sein. In vielen Unternehmen mangelt es an Sicherheitsexperten mit entsprechender Kompetenz und Erfahrung.

Herausforderungen bei der Absicherung von Active Directory
Bedrohungsakteure kennen die gängigen Konfigurationsprobleme genau und werden versuchen, diese auszunutzen, sobald sie sich Zugang ins Netzwerk verschafft haben. Hat ein Angreifer Active Directory erst einmal unter seine Kontrolle gebracht, verfügt er gewissermaßen über den Schlüssel zur gesamten Umgebung und kann dadurch auf jedes mit dem Netzwerk verbundene Gerät oder System zugreifen. Wenn Active Directory dann noch als Identity Provider (IdP) zum Einsatz kommt, könnte sich eine Kompromittierung auf die SSO-Lösung (Single Sign-On) auswirken. Der Angreifer hätte dadurch noch mehr Zugang zu weiteren Konten, entsprechend den jeweiligen Benutzerkonfigurationen.

In den meisten Unternehmen sind Konfigurations- und allgemeine Sicherheitsprobleme die beiden größten Risiken in Verbindung mit Active Directory. Zudem können auch organisatorische Herausforderungen auftreten. In vielen Unternehmen verwalten IT-Administratoren die Active-Directory-Bereitstellungen, während das Cybersicherheitsteam für deren Schutz verantwortlich ist. Viele Unternehmen müssen zudem mit begrenzten IT- und Sicherheitsbudgets auskommen. Gerade von Sicherheitsexperten wird oft erwartet, dass sie sich in mehreren Bereichen auskennen. Das führt dazu, dass es an Expertenwissen zum Thema Active Directory – und zu den vielen Feinheiten einer ordnungsgemäßen Implementierung – häufig mangelt.

Fünf häufige Konfigurationsfehler
Das Security Response Team (SRT) von Tenable [1] hat Meldungen von Kunden zu Sicherheitsverletzungen analysiert. Die Ergebnisse sind in ein aktuelles Whitepaper zur Absicherung von Active Directory eingeflossen. Das Whitepaper soll Sicherheits- und IT-Experten aufzeigen, worauf sie ihre Active-Directory-Schutzmaßnahmen konzentrieren sollten. Die Forscher von Tenable erklären darin fünf häufige Konfigurationsfehler, die bei einem Angriff am ehesten ausgenutzt werden.
  1. Zu viele Benutzer werden privilegierten Gruppen zugewiesen.
  2. Service-Accounts sind als Domain-Admins konfiguriert.
  3. Probleme mit Passwortrichtlinien
  4. Schwache Verschlüsselung
  5. Inaktive Domain-Accounts

Verkettung mehrerer Schwachstellen
Schwachstellen, die sich unmittelbar auf Active Directory auswirken, traten bisher nur selten auf. Doch in der Regel verketten Angreifer mehrere Schwachstellen miteinander, um auf diesem Weg zu versuchen, ihre Zugriffsrechte auszuweiten. Häufig werden dabei legitime Konten und der Zugriff auf Active Directory als Zwischenschritt genutzt, um sich Zugang zu sensiblen Systemen in einem Netzwerk zu verschaffen oder diese anzugreifen. Das Whitepaper bietet Erkenntnisse zu zwei bedeutenden Schwachstellen – Zerologon (CVE-2020-1472) und ProxyLogon (CVE-2021-26857 und andere CVEs) – und zeigt auf, wie diese sich auf Active Directory auswirken können.

Grundlegende Schutzmaßnahmen umsetzen
Als Schutzmaßnahmen empfiehlt Tenable grundsätzliche Verbesserungen der Cyberhygiene, regelmäßige Patching-Zyklen, die Ausarbeitung von Plänen zum Umgang mit Out-of-Band-Patches und ebenso regelmäßige Backups. All diese Maßnahmen können dabei helfen, Unternehmen auf die nächste Schwachstelle vorzubereiten, die ihre Active-Directory-Umgebung beeinträchtigen könnte. Administratoren und Sicherheitsexperten müssen bereit sein, wachsam bleiben und zudem Richtlinien implementieren, um die Gefährdung zu reduzieren und sich von innen heraus zu schützen.
25.05.2021/dr

Tipps & Tools

Studie: IT-Teams gehen gestärkt aus dem Pandemiejahr hervor [15.06.2021]

Sophos hat in einer Studie die Auswirkungen des vom Pandemiegeschehen dominierten Jahrs 2020 auf IT-Teams beleuchtet: Als Ergebnis haben deutlich gestiegene Anforderungen auch positive Konsequenzen. So hat eine Mehrheit der Befragten eine gestiegene Security-Kompetenz ihrer IT-Abteilung beobachtet und viele Entscheider berichten von einer höheren Team-Moral. [mehr]

Aktuelle Cyberthreats-Informationen [12.06.2021]

Sie wollen sich über aktuelle Cyberbedrohungen möglichst umgehend informieren, statt erst im Nachgang Schadensstatistiken von Malware studieren zu können? Dann sollten Sie das kostenlos nutzbare Webportal AV-Atlas evaluieren, das die gegenwärtige Bedrohungslage rund um gefährliche URLs, Spam-Mails und Software-Downloads laut Anbieter AV-TEST Institut mit topaktuellen, in Echtzeit präsentierten Daten abbildet. [mehr]

Fachartikel

Das gilt es bei Managed Security Services zu beachten [9.06.2021]

Mit immer neuer Schadsoftware und ausgefeilteren Angriffen attackieren Cyberkriminelle Unternehmen über das Internet. Einer Studie zufolge verzeichnete im vergangenen Jahr ein Fünftel aller Unternehmen in Deutschland mindestens einen gravierenden Sicherheitsvorfall. Managed Security Services können die IT-Infrastrukturen vor solchen Bedrohungen schützen. Wir geben einen Überblick, welche Vorteile die Dienste bieten, welche Modelle möglich sind und wie IT-Verantwortliche den richtigen Anbieter finden. [mehr]

Buchbesprechung

Noch analog oder lebst du schon?

von Rolf Drechsler und Jannis Stoppe

Anzeigen