Indikatoren

Die unter dem Namen Zerologon bekannte Schwachstelle steht im Zusammenhang mit einer kritischen Schwachstelle (CVE-2020-1472) in Windows Server, die einen CVSS-Score von 10,0 von Microsoft erhalten hat. Sie umfasst eine Erhöhung von Berechtigungen, die stattfindet, wenn ein Angreifer eine anfällige Netlogon-Verbindung über einen sicheren Kanal zu einem Domänencontroller herstellt, unter Berechtigungen des Netlogon-Remote-Protokolls (MS-NRPC). Diese Schwachstelle ermöglicht es Angreifern, eine Domäne zu kompromittieren und sich die Rechte eines Domänenadministrators zu verschaffen.

DCShadow ist ein weiterer kill chain-Angriff im Spätstadium, mit dem ein Angreifer mit privilegierten Anmeldeinformationen einen Rogue-Domänencontroller registrieren kann, um beliebige Änderungen mittels Domänenreplizierung per Push an eine Domäne zu übertragen (z. B. kann er verbotene sidHistory-Werte anwenden).

Die Gruppe der lokalen Administratoren wurde mit der SAMR RPC-Schnittstelle aufgelistet, wahrscheinlich mit BloodHound/SharpHound.

Die kritische CVE-2020-1472 namens Zerologon ist ein Angriff, der einen Kryptographiefehler im Netlogon-Protokoll missbraucht, der es einem Angreifer ermöglicht, als beliebiger Computer einen sicheren Netlogon-Kanal mit einem Domänencontroller aufzubauen. Dann kann mit verschiedenen Post-Exploitation-Verfahren eine Rechteausweitung erzielt werden, zum Beispiel eine Änderung des Passworts des Domänencontroller-Kontos, erzwungene Authentifizierung, DCSync-Angriffe und andere. Der ZeroLogon-Exploit wird oft mit den Post-Exploitation-Aktivitäten verwechselt, die die tatsächliche gefälschte Netlogon-Authentifizierungsumgehung verwenden (adressiert vom IOA „Zerologon-Ausnutzung“). Dieser Indikator fokussiert sich auf eine der Post-Exploitation-Aktivitäten, die mit der Netlogon-Schwachstelle verwendet werden können: die Modifizierung des Kontopassworts für den Domänencontroller-Rechner.

Die kritische Schwachstelle CVE-2021-42287 kann dazu führen, dass von einem Standardkonto aus eine Rechteausweitung in der Domäne möglich ist. Dieser Fehler entsteht durch falsche Verarbeitung von Anfragen, die sich an ein Objekt mit einem nicht vorhandenen sAMAccountName-Attribut richten. Der Domänencontroller fügt dem sAMAccountName-Wert automatisch ein nachgestelltes Dollarzeichen ($) hinzu, wenn er dieses Zeichen nicht findet. Dies kann zu einem Identitätswechsel für ein Computerkonto führen, das Ziel des Angriffs ist.

Nachdem sich ein Benutzer eingeloggt hat, können Angreifer versuchen, auf Anmeldeinformationen zuzugreifen, die im Prozessspeicher des lokalen Sicherheitsautorisierungs-Subsystem-Dienst (LSASS) gespeichert sind.

Password Spraying ist ein Angriff, bei dem versucht wird, mit einigen häufig verwendeten Passwörtern auf eine große Anzahl Konten (Benutzernamen) zuzugreifen. Diese Angriffsform wird auch als Low-and-Slow-Methode bezeichnet.

Das PetitPotam-Tool kann verwendet werden, um die Authentifizierung des Zielcomputers auf einem Remotesystem zu erzwingen bzw. um generell NTLM-Relay-Angriffe durchzuführen. Bei einem PetitPotam-Angriff auf einen Domänencontroller kann sich ein Angreifer bei einem anderen Computer im Netzwerk authentifizieren, indem er die Authentifizierung des Domänencontrollers weitergibt.

NTDS-Exfiltration bezieht sich auf die Methode, die Angreifer zum Abrufen der NTDS.dit-Datenbank verwenden. In dieser Datei werden Active Directory-Geheimnisse wie Passwort-Hashes und Kerberos-Schlüssel gespeichert. Nachdem ein Angreifer sich Zugriff verschafft hat, analysiert er eine Kopie der Datei offline. Dies ist eine Alternative zu DCSync-Angriffen zum Abrufen von sensiblen Active Directory-Inhalten.

DPAPI-Domänensicherungsschlüssel sind ein wichtiger Bestandteil bei der Wiederherstellung von DPAPI-Geheimnissen. Verschiedene Angriffs-Tools sind darauf ausgelegt, diese Schlüssel mithilfe von LSARPC-Aufrufen von Domänencontrollern zu extrahieren. Microsoft bestätigt, dass es keine unterstützte Methode zum Rotieren oder Ändern dieser Schlüssel gibt. Daher empfiehlt das Unternehmen im Fall einer Kompromittierung der DPAPI-Sicherungsschlüssel für die Domäne, eine vollständig neue Domäne von Grund auf zu erstellen. Dies ist ein kostspieliger und langwieriger Vorgang.

BadSuccessor ist ein Fehler bei der Active Directory-Rechteausweitung in Windows Server 2025, der dMSAs ausnutzt und es Angreifern ermöglicht, Kontoverknüpfungen zu manipulieren und potenziell die Domäne zu kompromittieren.

Stellt sicher, das keine Gruppe leer ist oder nur ein einziges Mitglied enthält.

Identifizieren Sie potenziell unsichere Berechtigungen, die sich auf Exchange-Ressourcen auswirken oder Exchange-Gruppen zugewiesen sind.

Erkennt veraltete Exchange-Server, die von Microsoft nicht mehr unterstützt werden, sowie solche, auf denen die neuesten kumulativen Updates fehlen.

Listet Fehlkonfigurationen auf, die sich auf Exchange-Ressourcen oder ihre zugrunde liegenden Active Directory-Schemaobjekte auswirken.

Erfasst Informationen wie Hybridbenutzer und -computer aus der On-Premise Active Directory-Umgebung über Ressourcen, die mit Microsoft Entra ID synchronisiert werden.

Ungewöhnliche Konten in sensiblen Exchange-Gruppen

Zeigt potenzielle Fehlkonfigurationen von Domänendienstkonten an.

Prüft, dass keine doppelten (in Konflikt stehenden) Benutzer, Computer oder Gruppen vorhanden sind.

Erkennt Shadow Credentials-Backdoors und -Fehlkonfigurationen in der Funktion „Windows Hello for Business“ und den zugehörigen Schlüssel-Anmeldeinformationen.