pathdoc - stock.adobe.com
Active Directory: Fehlkonfigurationen als Sicherheitsrisiko
Das Active Directory bildet vielerorts die Basis zur Verwaltung von Benutzern und Gruppen. Angreifer kennen typische Konfigurationsprobleme und dringen so in Netzwerke ein.
In vielen Unternehmen und Organisationen laufen im Active Directory alle Fäden hinsichtlich Benutzerkonten und Berechtigungen zusammen. Kommt es da zu Problemen, oder gelingt Angreifern der Zugriff auf Informationen, kann das in Sachen Sicherheit weitreichende und verheerende Folgen haben. Geht es um die Administration von Gruppen und Benutzern in Unternehmensnetzwerken, dann werden die üblicherweise übers Active Directory verwaltet. Und auch die Authentifizierung und Autorisierung der Benutzer und Rechner wird über häufig über den Verzeichnisdienst von Microsoft abgebildet. Und wie in vielen anderen Bereichen auch, kann selbst ein relativ einfacher Fehler bei der Konfiguration oder Richtlinien zu einer Schwachstelle führen, die Angreifer sich zunutze machen können.
Dass wissen selbstredend auch böswillige Akteure und versuchen entsprechend Zugang zum Active Directory zu gelangen. Gelingt es Angreifern sich Zugang zum Netzwerk beziehungsweise zum AD zu verschaffen, bewegen sie sich dort häufig seitwärts und versuchen an höhere Berechtigungen zu gelangen. Je nach Benutzerkonfiguration, können sich böswillige Akteure so weitere Zugänge und Berechtigungen verschaffen. Und das geschieht häufig relativ unbemerkt.
Das Security Response Team (SRT) von Tenable hat Meldungen von Kunden zu Sicherheitsverletzungen analysiert. Dabei sei man auf fünf häufige Konfigurationsfehler gestoßen, die bei Angriffen am ehesten ausgenutzt werden:
- Zu viele Benutzer werden privilegierten Gruppen zugewiesen
- Service-Accounts sind als Domain-Admins konfiguriert
- Probleme mit Passwortrichtlinien
- Schwache Verschlüsselung
- Inaktive Domain-Accounts
Es seien bisher nur selten Schwachstellen aufgetreten, die sich unmittelbar aufs Active Directory auswirken würden. Die Angreifer verketten üblicherweise mehrere Schwachstellen miteinander. Dies erlaubt ihnen dann nachfolgend, ihre Zugriffsrechte auszuweiten. In der Regel werden legitime Kontoinformationen verwendet, um sich Zugang zu sensiblen Systemen im Netzwerk zu verschaffen.
Als Schutzmaßnahmen rät Tenable zu einer grundsätzlichen Verbesserung der Cyberhygiene, einem planvollen Umgang mit Out-of-Band-Sicherheitsudpates sowie regelmäßigen Zyklen zum Einspielen von Patches und nicht zuletzt regelmäßigen Backups. Zudem sollten Administratoren und Security-Experten Richtlinien einrichten, um die Risiken zu reduzieren und sich von innen heraus zu schützen.
