Kerbrute - A tool to quickly bruteforce and enumerate valid Active Directory accounts through Kerberos Pre-Authentication

John the Ripper - A fast password cracker

hashcat - advanced password recovery tool

<p>Prüft Passwörter auf Schwächen, durch die Active Directory-Konten anfälliger für Risiken werden können.</p>


<p>Im Zusammenhang mit Active Directory-Kontopasswörtern können mehrere Probleme entstehen, die zu einer verringerten Active Directory-Sicherheit führen könnten.</p>


Erkennung von Passwortschwächen

Die Wiederverwendung desselben Passworts für mehrere Benutzerkonten stellt ein erhebliches Sicherheitsrisiko dar. Wenn Angreifer eines dieser Konten erfolgreich kompromittieren, können sie diese Sicherheitslücke durch einen Passwort-Spraying-Angriff ausnutzen, um unautorisierten Zugriff auf andere Konten zu erlangen.


Passwortwiederverwendung innerhalb Domäne

Mindestens ein privilegiertes Konto teilt das Passwort mit anderen Konten. Dies könnte ein direkter Vektor für Rechteausweitung sein, der von einem Angreifer durch die Kompromittierung niedrig privilegierter Konten missbraucht werden kann.
Das könnte auch auf eine unzureichende Konfiguration mehrstufiger Konten durch die Wiederverwendung desselben Passworts zwischen Ebenen oder die Verwendung eines schwachen Passworts hindeuten.


Passwortwiederverwendung innerhalb der Domäne durch ein privilegiertes Konto

Wenn das Kontopasswort in einer veröffentlichten Datenbank enthalten ist, weist das nicht unbedingt auf ein kompromittiertes Konto hin. Es könnte jedoch einen Password-Guessing-Angriff oder Offline-Cracking-Angriff auf das Konto erleichtern. Diese Art offengelegter Passwörter darf nicht weiter verwendet werden, da potenzielle Angreifer sie ausnutzen können, um unautorisierten Zugriff auf andere Konten zu erlangen.


Verwendung eines kompromittierten Passworts

Bestimmte Konten verwenden einen nicht leeren Wert für ihren LM-(Lan Manager-)Hash. Beachten Sie, dass der LM-Hashing-Algorithmus relativ schwach im Vergleich zum NT-Hashing-Algorithmus und anfällig für schnelle Brute-Force-Angriffe ist. Daher wird aus Sicherheitsgründen empfohlen, LM-Hashes nicht zu speichern und stattdessen nur NT-Hashes vorzuziehen.


Benutzerkonten mit einem LM-Hash

Bestimmte Benutzerkonten haben ein leeres Passwort (NT-Hash). In bestimmten Situationen könnten diese Konten ein leeres Passwort haben. Dies stellt ein Sicherheitsrisiko dar, da ein Angreifer sich ohne die Eingabe eines Passworts authentifizieren kann.
Unter den folgenden Umständen kann ein Konto ein leeres Passwort haben:
  * Die Domänenpasswortrichtlinie hat den Wert des Attributs minPasswordLength auf 0 und den Wert des Attributs complexityEnabled auf False gesetzt.
  * Beim Attribut userAccountControl ist das Flag PASSWD_NOTREQD auf True gesetzt.


Benutzerkonten mit leerem Passwort (NT-Hash)

Bestimme Domänencontroller haben ein leeres Passwort, was auf die Ausnutzung der Schwachstelle Zerologon zurückzuführen sein könnte.
Diese Schwachstelle umfasst ein potenzielles Exploit-Szenario, bei dem das Domänencontroller-Passwort geändert wird, damit Angreifer die Domäne komplett kompromittieren können.


Domänencontroller mit einem leeren Passwort

Bestimmte Konten haben schwache Passwörter, die entweder in der konfigurierten Passwortliste enthalten oder mit Kontoattributen wie sAMAccountName oder displayName identisch sind. Daher sind dieses Passwörter besonders für Brute-Force-Angriffe anfällig.


Erkennungen

Erkennung von Passwortschwächen

high

Beschreibung

Lösung

Siehe auch

Indikatordetails

Bekannte Tools von Angreifern