IT-Security: Passwörter und Hashes – wie Angreifer die Domäne kompromittieren

Angreifer missbrauchen Fehlkonfigurationen und fehlende Härtung des Active Directory gnadenlos. Schnell ist aus dem Angreifer ein Domänenadministrator geworden.

Lesezeit: 13 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge
Von
  • Frank Ully
Inhaltsverzeichnis
Schwerpunkt Netzwerksicherheit im Active Directory

Dieser Artikel über das Active Directory (AD) beschreibt, wie Kriminelle und Sicherheitstester die Datenschätze, die sie beim Durchforsten einer Domäne ("Enumeration") angehäuft haben, gewinnbringend ummünzen in Authentifizierungsmaterial wie Hashes und sich damit von Benutzer zu Benutzer und im Netzwerk von Rechner zu Rechner hangeln – hin zu Systemen mit den Kronjuwelen der angegriffenen Organisation. Außerdem werden kurze Wege zum Domänenadministrator vorgestellt.

Der Beitrag zu AD-Enumeration hatte gezeigt, wie Angreifer Informationen über die Domänenumgebung ausspähen, in der sie durch Kompromittieren eines Windows-Systems oder auch eines Linux-Servers im selben Netzwerk gelandet sind. Dabei helfen ihnen Informationspreisgaben wie Passwörter in Benutzerbeschreibungen und Techniken wie Password Spraying, sich zu den nächsten Systemen im AD vorzuarbeiten.

Verfügen die initial betroffenen Benutzer allerdings nicht über erhöhte Rechte, operieren Eindringlinge in der Domäne noch mit niedrigen Privilegien, können also nicht unmittelbar deren Konfiguration verändern. Das bedeutet übrigens nicht, dass Entwarnung gegeben werden kann: Wenn das anfänglich betroffene Benutzerkonto das der Forschungsleiterin ist, haben die Einbrecher mit deren Berechtigungen sofort den Jackpot geknackt und können geistiges Eigentum stehlen. Desgleichen wenn der Zugang eines Buchhalters kompromittiert ist, der Überweisungen veranlassen kann.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+