Tenable warnt vor unterschätztem Schwachpunkt
AD-Fehlkonfigurationen gefährden Unternehmen
Microsofts Active Directory ist eines der meistgenutzten Tools zur Administration von Gruppen und Benutzern. Dies macht das AD zu einem attraktiven Ziel für Bedrohungsakteure Der Security-Anbieter Tenable warnt deshalb vor verbreiteten Mängeln beim AD-Einsatz.
Bedrohungsakteure kennen die gängigen Konfigurationsprobleme und werden versuchen, diese auszunutzen, sobald sie sich Zugang zum Netzwerk verschafft haben, so Tenable. Denn hat ein Angreifer das AD erst einmal unter seine Kontrolle gebracht, verfügt er über den Schlüssel zur Umgebung und kann auf jedes mit dem Netzwerk verbundene System zugreifen. Kommt das Active Directory als Identity Provider (IdP) zum Einsatz, könnte sich eine Kompromittierung zudem auf die SSO-Lösung (Single Sign-on) auswirken. Der Angreifer hätte dadurch noch mehr Zugang zu weiteren Konten.
In den meisten Unternehmen sind Konfigurations- und allgemeine Sicherheitsprobleme die beiden größten Risiken in Verbindung mit dem Active Directory, mahnt der Security-Anbieter. Zudem stoße man auf organisatorische Herausforderungen. Denn in vielen Unternehmen verwalten IT-Administratoren die AD-Bereitstellung, während das Security-Team für deren Schutz verantwortlich ist. Viele Unternehmen müssen zudem mit begrenzten IT- und Sicherheitsbudgets auskommen. Gerade von Sicherheitsexperten wird oft erwartet, dass sie sich in mehreren Bereichen auskennen. Das führt laut Tenable dazu, dass es an Expertenwissen zum Active Directory und zu den vielen Feinheiten einer ordnungsgemäßen Implementierung häufig mangelt.
Laut dem Security Response Team (SRT) von Tenable sind dies fünf häufige Konfigurationsfehler, die sich bei einem Angriff am ehesten ausnutzen lassen:
1. Zu viele Benutzer sind privilegierten Gruppen zugewiesen,
2. Service-Accounts sind als Domain-Admins konfiguriert,
3. Probleme mit Passwortrichtlinien,
4. Schwache Verschlüsselung sowie
5. inaktive Domain-Accounts.
Schwachstellen, die sich unmittelbar auf das Active Directory auswirken, traten laut Tenable-Angaben bisher nur selten auf. Doch in der Regel verketteten Angreifer mehrere Schwachstellen, um ihre Zugriffsrechte auszuweiten. Häufig nutze die Angreiferseite dabei legitime Konten und den Zugriff auf das AD als Zwischenschritt, um sich Zugang zu sensiblen Systemen in einem Netzwerk zu verschaffen oder diese anzugreifen.
Als Schutzmaßnahmen empfiehlt Tenable grundsätzliche Verbesserungen der „Cyberhygiene“, regelmäßige Patch-Zyklen, die Ausarbeitung von Plänen zum Umgang mit Out-of-Band-Patches und regelmäßige Backups.
Lesen Sie mehr zum Thema
