Abwehr von Cyberangriffen Active Directory: Eine „Blutwäsche“ für den Verzeichnisdienst

Anbieter zum Thema

Kendox AG

xSuite Group GmbH

Der 25 Jahre alte Verzeichnisdienst von Microsoft, das Active Directory, ist in neun von zehn gemeldeten Ransomware-Angriffen involviert. Lesen Sie in dem Gastbeitrag, wie Unternehmen das eigene AD vor böswilligen Änderungen schützen und im Fall der Fälle auch per „Blutwäsche“ von Malware befreien können. Wie immer gilt: Eine gute Vorbereitung hilft bei jeder OP.   

Die Zeiten starrer Grenzen in der IT sind vorbei. Spätestens seit der Covid-Pandemie kann die Perimeter-Firewall endgültig nicht mehr als die „New Work“-konforme Absicherung der Unternehmensdaten gelten. Neue Konzepte wie Zero Trust lösen das alte Schichtendenken ab. In einem Punkt sind sich die meisten Ansätze einig. Der neue Perimeter in der IT-Sicherheit ist die Identität, wobei hier sowohl die Identität eines Benutzers als auch die eines Endgeräts von Bedeutung ist. Dies haben auch die Angreifer erkannt, sodass in den vergangenen Jahren der Missbrauch von Identitäten in neun von zehn erfolgreichen Angriffen auf die Active Directory eine wesentliche Rolle spielte.  

Active Directory: Abwärtskompatibilität vor Sicherheit

Die IT-Landschaften von Firmen und Organisationen sind vielfältig. Einige sind fest On-Premises verankert, andere nutzen Dienste aus der Public Cloud zur Authentifizierung und Autorisierung, dies meist in einer hybriden Konstellation. Doch in der großen Mehrheit dieser Infrastrukturen spielt eine 25 Jahre alte Technologie aus dem Hause Microsoft eine zentrale Rolle – der Verzeichnisdienst Active Directory. Dieses eng mit Windows und anderen Produkten verzahnte System besitzt einige bekannte Anfälligkeiten, welche größtenteils dem hohen Alter von Active Directory geschuldet sind.  

Da bis vor einigen Jahren Abwärtskompatibilität bei Microsoft noch vor Sicherheit ging, sind viele dieser Schwachstellen im Standardzustand offen, obwohl moderne Windows-Versionen inzwischen in der Lage sind, diese zu schließen oder deren Auswirkungen zu begrenzen. Darüber hinaus gibt es Fehlkonfigurationen, die in vielen AD-Umgebungen über alle Größen und Branchen hinweg vorkommen. Die weite Verbreitung sowohl des AD selbst als auch der Angriffstechniken, die seine bekannten Schwächen ausnutzen, führte zu der traurigen Feststellung „Hackers don’t break in, they log in“, die in den vergangenen drei Jahren von einigen CSOs geäußert wurde. 

Active Directory: Drei wichtige Aufgaben der Verteidiger

Das „Cybersecurity Framework“ des US-NIST unterteilt den Sicherheits-Lebenszyklus eines IT-Systems in fünf Phasen: IDENTIFY à PROTECT à DETECT à RESPOND à RECOVER, die meistens als ein geschlossener Kreislauf dargestellt werden. Aus Sicht eines konkreten Cyberangriffs bilden diese Phasen die Zeit „vor“ (IDENTIFY + PROTECT), „während“ (DETECT + RESPOND) und „nach dem Angriff“ (RECOVER) ab. Für Identitätssysteme, die auf Active Directory basieren, kommen dem Verteidiger-Team folgende Aufgaben zu:

• Vor dem Angriff: Die Schwachstellen und offene Flanken des eigenen AD in Detail kennen und diese, sofern möglich, durch geeignete Maßnahmen schließen. Dies können Einstellungen, Richtlinien, Patches oder sogar die Abschaltung besonders anfälliger Systeme sein.

• Während des Angriffs: Zu jeder Zeit über Änderungen im Bilde sein, die im AD vorgenommen werden. Dabei die unerwünschten erkennen und den Schaden begrenzen, indem Änderungen schnell rückgängig gemacht werden, bevor der Angreifer sie für einen weiteren Schritt entlang seiner „Killchain“ einsetzen kann.

• Nach dem Angriff: War der Angreifer erfolgreich und ist es ihm gelungen, das System zu zerstören oder zumindest in Erpressungsabsicht zu verschlüsseln, muss das IT-Team in der Lage sein, die zentralen Identitätssysteme wiederherzustellen. Klassische Backups helfen dabei oft nur wenig, denn sie enthalten meistens „Spuren“ des Angreifers in Form residenter Malware – oder wurden bereits vor der finalen Angriffsphase unbrauchbar gemacht.

Diese Aufgaben fasste Gartner im jüngsten Cybersecurity-Report zu einer neuen Disziplin „Identity Threat Detection and Response“ (ITDR) zusammen. Active-Directory- und Security-Administratoren müssen sie natürlich nicht manuell bewältigen, denn die Systeme sind so komplex und die zu verfolgenden Ereignisse so umfangreich, dass dies in der Regel gar nicht möglich ist. Verteidiger eines Active Directory sollten sich daher mit Werkzeugen ausrüsten, die ihnen das mechanische Aufbereiten der Konfigurations- und Ereignisdaten abnehmen. Speziell bei Änderungen im AD sollte sich das Team nicht nur auf Ereignisprotokolle verlassen, denn viele typische Angriffspfade beinhalten das Umgehen der Nachverfolgung wie Mimikatz DCShadow oder deren temporäre Abschaltung (was ebenfalls durch DCShadow erfolgen kann und in diesem Fall keinerlei Ereignisse generiert). Die Verfolgung der Änderungen sollte sich an den tatsächlichen AD-Daten orientieren.

Resilienz der Identitätssysteme steigern

Ist das Active Directory „gefallen“, so ist das Team in der Pflicht, die Wiederherstellung nicht nur innerhalb kürzester Zeit durchzuführen, sondern auch einen funktionierenden und schädlingsfreien AD-Forest bereitzustellen, der möglichst aktuelle Identitätsdaten enthält. Gerade bei der früher sehr beliebten Mehrdomänen-Topologie ist dies ein komplexer Vorgang, der von Microsoft zwar gut dokumentiert ist, bei manueller Ausführung jedoch Tage bis Wochen dauern kann und unter Umständen zu einem Ergebnis führt, welches die vom Angreifer eingebrachte Malware dennoch beinhaltet. Spezialisierte Werkzeuge helfen auch hier, die Resilienz der Identitätssysteme zu steigern.  

Cybersecurity

Kontinuitätsmanagement für mehr Cyberresilienz