Active Directory: Wie Angreifer Tickets, Delegierung und Trusts missbrauchen

Besonders tückisch beim Active Directory ist, was im Zusammenhang mit Vertrauen und Rechten steht. Fehlkonfigurationen bieten ein hohes Missbrauchspotenzial.

Lesezeit: 13 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge
Von
  • Frank Ully
Inhaltsverzeichnis
Schwerpunkt Netzwerksicherheit im Active Directory

Folgender Artikel geht darauf ein, wie sich Angreifer mit den Datenschätzen, die sie bei der Erforschung des AD (Enumeration) angehäuft haben, höhere Rechte verschaffen. Fehlkonfigurationen bei den verschiedenen Arten der Delegierung werden gezeigt und eine neue Variante bekannter Angriffe wie Net-NTLM-Relaying wird vorgestellt. Zudem wird erklärt, wie leicht Angreifer mit Administratorrechten in einer Domäne deren Grenze überschreiten und alle Domänen innerhalb der AD-Gesamtstruktur kompromittieren.

Beim Pass-the-Hash-Angriff missbraucht ein Angreifer den NT-Passwort-Hash, bei Overpass the Hash alternativ einen AES-Kerberos-Schlüssel – beide dienen äquivalent zu Passwörtern dem Zugriff auf entfernte Ressourcen. Ebenso können Kerberos-Tickets gestohlen und wiederverwendet werden, um Zugang zu einem anderen Rechner oder Netzwerkressourcen zu erhalten.

Bei Authentifizierung mit dem Kerberos-Protokoll liefert ein Ticket Granting Ticket (TGT) den Nachweis, dass ein Benutzer derjenige ist, für den er sich ausgibt. Der Domänencontroller (DC), der Authentifizierungsanfragen verifiziert, nimmt Anfragen für den Zugang zu Diensten entgegen, validiert das TGT und verpackt die darin angegebenen Rechteinformationen in einem Serviceticket (Ticket Granting Service; TGS). Dann verschlüsselt er es, sodass nur der DC und der Dienst das Ticket entschlüsseln können. Kann der Dienst das Serviceticket entschlüsseln und validieren und ist der Benutzer berechtigt, erhält er Zugriff auf die angeforderte Ressource.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 12,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+