AD‘s – Plattformen für Hacker?

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

Angesichts der zunehmenden Verbreitung von Ransomware-Angriffen fühlt sich jedes Unternehmen unter Druck gesetzt - und hat oft das Gefühl, dass es sich gegen Cyberkriminelle nicht wehren kann.

Unternehmen können jedoch die Kontrolle zurückgewinnen, indem sie sich auf einen der häufigsten Angriffsvektoren konzentrieren: Active Directory. Ransomware-Angriffe nutzen häufig zunächst AD-Sicherheitslücken wie Fehlkonfigurationen oder schwache Kennwörter, um schließlich Zugriff auf so viele Endpunkte und Server wie möglich zu erhalten.  

Keine Ransomware-Bande möchte nur einen einzigen Rechner infiziert sehen: Sie wollen, dass auch der letzte Teil Ihres Betriebs unbrauchbar wird und Ihr gesamtes Unternehmen zum Stillstand kommt. Auf diese Weise haben sie eine bessere Chance, Sie zur Zahlung des Lösegelds zu bewegen. Moderne Windows-Client-Betriebssysteme sind jedoch einigermaßen aktuell und sicher, was entschlossene Cyberkriminelle dazu veranlasst, zunächst das AD zu nutzen, um Wege zu finden, bösartigen Ransomware-Code in die Umgebung einzuschleusen, auf Backups zuzugreifen und diese zu löschen sowie Fernzugriff für zukünftige Angriffe zu ermöglichen.

Leider zeigen Analysen nach Angriffen oft, dass grundlegende AD-Sicherheitsvorkehrungen vernachlässigt wurden. Insbesondere für Unternehmen, die über ältere Anwendungen und AD-Implementierungen verfügen, die ein Jahrzehnt oder länger zurückliegen, kann die Gewährleistung einer angemessenen AD-Sicherheitshygiene ressourcenintensiv sein. Die Überprüfung von Kennwortrichtlinien und Berechtigungseinstellungen wird oft nachrangig behandelt - bis ein Ransomware-Angriff erfolgt, der AD als Einstiegs- oder Verbreitungsvektor nutzt. Selbst bei Unternehmen, die über Prozesse zum Schließen von AD-Sicherheitslücken verfügen, können die Konfigurationseinstellungen im Laufe der Zeit aufgrund von wechselnden Mitarbeitern, dringenden Zugriffsanfragen, geänderten Richtlinien und anderen Faktoren abdriften.

Einige der häufigsten und am leichtesten zu vermeidenden AD-Fehlkonfigurationen, die zu Sicherheitslücken führen, sind:

  • Konfigurieren von AD‘s mit uneingeschränkter Delegation, ein beliebtes Ziel für Angreifer
  • Missbrauch des integrierten Administratorkontos einer Domäne zur Verwendung als Dienstkonto für andere Ressourcen, wie z. B. Datenbanken
  • Riskante Berechtigungen auf Domänenebene
  • Administrative Konten mit Passwörtern, die seit Jahren nicht mehr geändert wurden
  • Benutzen von Domain Administrator Rechten zu Wartung von Client Problemen oder Installationen

Wie kann man das Unternehmens AD vor Cyber-Kriminellen schützen? 

Obwohl kein Plan gegen die immer entschlosseneren und raffinierteren Angreifer narrensicher ist, können drei wesentliche Schritte Ihren Schutz erheblich verbessern:

Überwachen Sie Änderungen an Active Directory: die Ransomware-Stämme Ryuk, Maze und SaveTheQueen nutzen beispielsweise solche Änderungen, um ihre Malware auf so viele Endpunkte wie möglich zu verteilen. Unternehmen sollten das AD im Allgemeinen überwachen, aber auch auf Änderungen achten, die vom AD vorgenommen wurden (z. B. Domain Admins, Administrator usw.). Unternehmen müssen alle abnormalen Änderungen beobachten und überprüfen - egal, wie harmlos sie Ihnen erscheinen. Denken Sie daran, dass Cyberkriminelle wissen, dass Sie sie beobachten und nach Wegen suchen, um unter dem Radar zu bleiben, wie im Fall von Ryuks Änderung einer Gruppenrichtlinie, um ein Anmeldeskript hinzuzufügen.

Entwickeln Sie einen Reaktionsplan: Wenn eine Änderung entdeckt wird, die die Aufmerksamkeit erfordert, muss ein Reaktionsplan aufgestellt werden. Zumindest eine Überprüfung der Änderung ist unerlässlich, ebenso wie die Möglichkeit, andere Änderungen aufzudecken, die möglicherweise zuvor von demselben Konto vorgenommen wurden. Für Änderungen, die als verdächtig oder gar bösartig eingestuft werden, sollten ein Aktionsplan erstellt werden: Deaktivieren von Konten, manuelles Rückgängigmachen von Änderungen, Sperren von Endpunkten (wenn möglich) usw. Es ist unwahrscheinlich, dass sich Cyberkriminelle auf eine einzige AD-Änderung beschränken werden. 

Proaktiver Schutz bestimmter Objekte: Für diesen Schritt benötigen Sie eine Lösung, da ein AD diese Aufgabe nicht übernimmt. Unternehmen müssen in der Lage sein, bestimmte "geschützte" Objekte zu überwachen (d. h. solche, die Sie als unternehmenskritisch einstufen, die sich nicht oft ändern und die nicht geändert werden sollten) und Änderungen an der vorherigen Konfiguration bei Bedarf automatisch rückgängig zu machen. 
Obwohl Cyber-Kriminelle immer geschickter darin werden, ein AD auszunutzen, sind sie in der Art und Anzahl der bösartigen Aktivitäten, die sie durchführen können, begrenzt. Wenn Sie die Teile von Active Directory schützen, die hochwertige, offensichtliche Ziele bei einem Angriff sind, können die meisten Angriffe abgewehrt werden. 

Wenn Unternehmen die Angreifer davon abhalten können, Ransomware im Netzwerk zu verbreiten, haben Sie einen Angriff effektiv gestoppt und die Auswirkungen der ursprünglichen Angriffsbemühungen minimiert. Das AD ist zu einem Dreh- und Angelpunkt bei Ransomware-Angriffen geworden. 

Wenn Sie die oben genannten Schritte in die Praxis umsetzen, werden Sie besser in der Lage sein, Cyberangriffe, die auf AD abzielen, zu verhindern, abzuschwächen oder darauf zu reagieren.

Wenn Sie Unterstützung brauchen, beraten wir Sie gerne bei der sicheren Gestaltung Ihres Active Directory. Senden Sie uns ein Mail oder rufen Sie uns einfach an, um mehr über unsere Services zu erfahren oder ein kostenloses Erstgespräch zu vereinbaren!

Wir freuen uns auf Ihre Kontaktaufnahme - ZU IHRER SICHERHEIT