Von Stephan Reinert, Leichlingen
Das Active Directory (AD) von Microsoft ist der am häufigsten genutzte Verzeichnisdienst und Identity-Provider. Zudem lassen sich darüber Ressourcen (Computer, Benutzer, Gruppen etc.) in einem AD komfortabel verwalten. Da fast jedes Unternehmen ein AD nutzt, ist es bei Cyberkriminellen ein ausgesprochen beliebtes Ziel - besonders steht dabei der Domänenadministrator im Fokus der Kriminellen. Das sind Benutzer, die über die weitreichendsten Berechtigungen in der AD-Domäne verfügen. Ein Domänenadministrator darf auf jedem „Domain-Joined“ System alles: Software installieren, Sicherheitslösungen deaktivieren, Gruppenrichtlinien ändern oder hinzufügen, neue (administrative) Benutzer anlegen und so weiter. Eine Windows Active-Directory-Umgebung ist oft historisch gewachsen; entsprechend sind seit vielen Jahren Fehlkonfigurationen und Schwachstellen vorhanden, wenn diese nicht regelmäßig behoben werden.
Die Angreifer gehen bei ihren Attacken häufig nach Playbooks vor, in denen typische Checks durchgeführt werden, um Fehlkonfigurationen sowie Schwachstellen aufzudecken und anschließend gezielt auszunutzen. Ein beliebter und immer noch sehr häufig möglicher Angriff ist das Kerberoasting. Dabei wird der Umstand ausgenutzt, dass für jeden Account, für den ein SPN (Service Principle Name) gesetzt ist, ein TGT (Ticket Granting Ticket) beim TGS (Ticket Granting Service [Service auf dem Domain...
mehr »
Das Fachgebiet Informations- und Wissensmanagement der TU Ilmenau führt in Zusammenarbeit mit...mehr »
Die Zeitschrift <kes> bietet gemeinsam mit der Stiftung Neue Verantwortung e. V. am 5. August...mehr »
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Sicherheitsanforderungen für...mehr »
Eine von Cisco durchgeführte Umfrage unter 1000 Angestellten in Deutschland liefert einen Einblick...mehr »
