Fünf häufige Active Directory-Fehlkonfigurationen, die Ihr Unternehmen gefährden

Das Security Response Team von Tenable untersucht einige der gängigsten Active Directory-Fehlkonfigurationen, die von Angreifern ins Visier genommen werden, und unterstützt Cyberverteidiger mit proaktiven Maßnahmen zur Versperrung von Angriffspfaden. 

Active Directory von Microsoft ist eine der meistgenutzten Technologien zur Administration von Gruppen und Benutzern in IT-Netzwerken von Unternehmen. Sie dient als zentrale Verwaltungsoberfläche für Windows-Domänennetzwerke und wird zur Authentifizierung und Autorisierung sämtlicher Benutzer und Rechner verwendet. Das macht Active Directory zu einem bedeutenden und wertvollen Ziel für Bedrohungsakteure: Angreifer können es als Stützpunkt verwenden, um Malware zu verteilen, neue Benutzerkonten zu erstellen und dem Netzwerk neue Rechner hinzuzufügen. Zudem können sie seine Funktionalität auszunutzen, um sich seitwärts im Netzwerk auszubreiten (Lateral Movement). 

Sobald Angreifer im Active Directory eines Unternehmens Stellung bezogen haben, können sie eine Vielzahl von böswilligen Handlungen durchführen – beispielsweise neue Benutzer mit Administratorrechten anlegen, neue Computer zu der Domäne hinzufügen, Ransomware im gesamten Netzwerk bereitstellen, sensible Systeme kompromittieren, sensible Daten entwenden und vieles mehr. Durch alleinige Kompromittierung eines einzigen Assets in der Domäne könnte ein Angreifer in der Lage sein, Rechte auszuweiten und sich seitwärts im gesamten System fortzubewegen – und es dabei auf sensible Daten oder Geräte abgesehen haben.

Doch die Administration von Active Directory kann sich für IT-Teams als komplexe und herausfordernde Aufgabe erweisen, und ebenso kompliziert kann die Absicherung für Sicherheitsexperten sein. In vielen Unternehmen mangelt es an Sicherheitsexperten mit entsprechender Active Directory-Kompetenz und -Erfahrung. 

Absicherung von Active Directory: Herausforderungen im Unternehmen

Bedrohungsakteure kennen häufige Konfigurationsprobleme genau und werden versuchen, diese auszunutzen, sobald sie sich Zugang zu Ihrem Unternehmen verschafft haben. Hat ein Angreifer Active Directory erst einmal unter seine Kontrolle gebracht, verfügt er gewissermaßen über den Schlüssel zu Ihrer gesamten Umgebung und kann dadurch auf jedes mit dem Netzwerk verbundene Gerät oder System zugreifen. Wenn Active Directory dann noch als Identity Provider (IdP) zum Einsatz kommt, könnte sich eine Kompromittierung auf Ihre SSO-Lösung (Single Sign-On) auswirken. Angreifer hätten dadurch noch mehr Zugang zu weiteren Konten, für die ein Benutzer möglicherweise konfiguriert wurde.

In den meisten Unternehmen sind Konfigurations- und allgemeine Sicherheitsprobleme die beiden größten Risiken in Verbindung mit Active Directory. Zudem können auch organisatorische Herausforderungen auftreten. In vielen Unternehmen werden Active Directory-Bereitstellungen beispielsweise von IT-Administratoren verwaltet, wobei ihre Cybersecurity-Kollegen für den Schutz verantwortlich sind. Viele Firmen müssen zudem mit begrenzten IT- und Sicherheitsbudgets auskommen und gerade von Sicherheitsexperten wird oft erwartet, dass sie sich in mehreren Bereichen auskennen. Das führt dazu, dass Expertenwissen zum Thema Active Directory – und den vielen Feinheiten einer ordnungsgemäßen Implementierung – häufig Mangelware ist. 

Unser neues Whitepaper Absicherung von Active Directory: Fünf häufige Konfigurationsfehler, die Ihr Unternehmen gefährden soll ausgelasteten Sicherheits- und IT-Experten aufzeigen, worauf sie ihre Active Directory-Maßnahmen konzentrieren sollten. Das Security Response Team (SRT) von Tenable hat Meldungen über Sicherheitsverletzungen analysiert und sich mit unserem fachkundigen Research-Team beraten, um Erkenntnisse zu den Active Directory-Fehlkonfigurationen bereitzustellen, von denen wir glauben, dass sie bei einem Angriff am ehesten ausgenutzt werden. 

Aus dem Whitepaper geht hervor, aus welchen Gründen es in Unternehmen zu solchen Fehlkonfigurationen kommen kann, wie sie Angreifern helfen und wie Unternehmen sie beheben können.  

Genauere Betrachtung von zwei Active Directory-Schwachstellen

Schwachstellen, die sich unmittelbar auf Active Directory auswirken, traten bisher nur selten auf. Doch in der Regel verketten Angreifer mehrere Schwachstellen miteinander, um auf diesem Weg zu versuchen, ihre Zugriffsrechte auszuweiten. Häufig werden dabei legitime Konten und der Zugriff auf Active Directory als Zwischenschritt genutzt, um sich Zugang zu sensiblen Systemen in einem Netzwerk zu verschaffen oder diese anzugreifen. Das Paper bietet Erkenntnisse zu zwei bedeutenden Schwachstellen – Zerologon (CVE-2020-1472) und ProxyLogon (CVE-2021-26857 und andere CVEs) – und zeigt auf, wie diese sich auf Active Directory auswirken können.

Im Whitepaper Absicherung von Active Directory: Fünf häufige Konfigurationsfehler, die Ihr Unternehmen gefährden erfahren Sie:

• Wie Angreifer Active Directory für Angriffe auf Unternehmen ausnutzen

• Welche Arten von Schwachstellen für Angriffe auf Active Directory verwendet werden

• Wie Sie Ihr Unternehmen besser vor gängigen Active Directory-Fehlkonfigurationen schützen können


Verbesserungen der Cyberhygiene, regelmäßige Patching-Zyklen, die Ausarbeitung von Plänen zum Umgang mit Out-of-Band-Patches und regelmäßige Backups – all diese Maßnahmen können dabei helfen, Ihr Unternehmen auf die nächste Schwachstelle vorzubereiten, die Ihre Active Directory-Umgebung beeinträchtigen könnte. Administratoren und Verteidiger müssen bereit sein, wachsam bleiben und zudem Richtlinien implementieren, um die Gefährdung zu reduzieren und sich von innen heraus zu schützen.

Mehr erfahren

• Whitepaper herunterladen: Absicherung von Active Directory: Fünf häufige Konfigurationsfehler, die Ihr Unternehmen gefährden

• Blog lesen: Unterbindung der allgegenwärtigen Angriffe auf Active Directory und Identitäten
• Mehr von Tenable Research finden Sie hier