Netzwerke, Fachartikel

Reise durchs Firmennetz – Kompromittierung von Windows-Netzwerken

Reise durchs Firmennetz – Kompromittierung von Windows-Netzwerken

Organisationen, die eigene Büronetzwerke betreiben, sollten sich immer die Frage nach deren Sicherheit stellen. Zugriffe ins Internet, das Anschließen von Peripheriegeräten oder die Installation von Software könnten Schad-Software in das interne Netzwerk einschleusen. Um das Risiko zu minimieren, setzen Firmen unter anderem auf diverse Schutzsysteme, Mitarbeiterschulungen und Richtlinien für den Umgang mit IT-Geräten. Doch gerade in höher schutzbedürftigen IT-Umgebungen sind weitere IT-Sicherheitsmaßnahmen unbedingt notwendig, um komplexe Angriffe aufzuhalten. Angreifern kann eine einzige Schwachstelle genügen, um einen Zugang ins Netzwerk zu erlangen. Doch wie geht es weiter? In unserem Fallbeispiel gehen wir von der Übernahme eines Windows Nutzerkontos (ohne Administrationsrechte) in einer Active Directory Umgebung aus. Wir erläutern den Blick eines Angreifers auf seine weiteren Ziele und nennen exemplarisch Vorgehensweisen, die letztendlich zur Übernahme des kompletten Netzwerks führen sollen.

Bevor wir uns den Methoden des Angreifers widmen, sollten wir uns einen kurzen Überblick verschaffen, wieso das Microsoft Active Directory (kurz AD) für Angreifer von so großem Interesse ist.

 

Das AD repräsentiert den Verzeichnisdienst von Microsoft und ist die fundamentale Grundlage einer Windows Domäne. Verzeichnisdienste speichern Informationen über Objekte wie beispielsweise Benutzer, Gruppen, Computer, Server, andere Geräte, Dienste und Datenfreigaben. Es ist bewährte Praxis, im Verzeichnisdienst reale Strukturen wie räumliche Verteilung oder nach Tätigkeit agierende Teams zu modellieren. Informationen, die auch für Angreifer wertvoll sind. So bieten diese möglichen  Angreifern einen schnellen Überblick über die Struktur eines Netzwerkes. Da aus pragmatischen Gründen häufig aussagekräftige Namen für die Objekte im Verzeichnisdienst vergeben werden, kann ein Angreifer diese Informationen auch für die effiziente Planung zielgerichteter Angriffe nutzen. 

 

Ein AD besteht aus folgenden vier Hauptkomponenten: 

 

1. Lightweight Directory Access Protocol (LDAP)

 

Mittels LDAP können Informationen aus dem zugehörigen Verzeichnis ausgelesen werden. In diesem sind beispielsweise Informationen über Benutzer und Gruppenzugehörigkeiten hinterlegt.

 

2. Kerberos

 

Mit Kerberos kann sich ein Nutzer an verschiedenen Diensten im Netzwerk über Single Sign-On authentifizieren. Die Durchführung des Authentifizierungs- und Autorisierungsverfahrens am Kerberos Authentifizierungsserver gibt dem Anwender ein „Ticket Granting Ticket“ (TGT) zurück. Das System des Nutzers sendet das TGT wiederum an Dienste wie einen Netzwerkdrucker und ersetzt damit die manuelle Anmeldung am Dienst. Der Dienst überprüft nun am Kerberos-Server, ob der Nutzer die benötigten Rechte für einen autorisierten Zugriff besitzt. Ist dies der Fall, erhält der Nutzer ein „Service-Ticket“ für den angefragten Dienst.

 

3. CIFS/SMB

 

CIFS ist eine Erweiterung des Server Message Block Protocols (SMB) und stellt neben Datei- und Druckerfreigaben auch Dienste wie Windows-RPC zur Verfügung. Heute wird üblicherweise SMB in den Versionen 2 und 3 für dieselben Aufgaben eingesetzt.

 

4. Domain Name System (DNS) und Domänen

 

Das AD benötigt ein eigenes DNS, um Ressourcen im Netzwerk zu finden. Mit Hilfe von Domänen kann eine hierarchische Struktur aufgebaut, sowie Gruppen und Berechtigungen über mehrere Domänen hinweg administriert werden. Dabei werden die notwendigen Informationen von Domain Controllern gehalten, welche untereinander die aktuellen Daten des Active Directory bereitstellen.

<< Erste < Vorherige 1 2 3 4 5 6 7 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: Tobias Mayer, GAI NetConsult GmbH

Verbotene Früchte

Erlangt ein Angreifer physischen Zugriff auf einen Rechner oder hat sich eingeschränkte Nutzerrechte auf diesem verschafft, ist typischerweise die Erweiterung seiner Nutzerrechte eines seiner nächsten Ziele, um erweiterten Zugriff auf sensible Daten oder weitere Systeme zu erhalten. Als...

BSI legt Lagedossier zu Ransomware vor

Derzeit berichten Medien über Cyber-Sicherheitsvorfälle mit hoher Schadenswirkung, die durch die Ransomware "WannaCry" ausgelöst werden. Von den Angriffen sind Unternehmen und Institutionen weltweit und auch in Deutschland betroffen. Das Besondere an dieser Schadsoftware ist, dass sie...

Ergebnisse der Cyber-Sicherheits-Umfrage 2016

Inhalt dieses Dokuments sind Ergebnisse der im Rahmen der Allianz für Cyber-Sicherheit durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kooperation mit dem Bundesverband der Deutschen Industrie (BDI), dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien...

Yahoo! zeigt sich wenig kooperativ

Dazu gehört, deutsche Nutzer in Fragen der Informationssicherheit zu sensibilisieren, zu beraten und zu warnen, auch in Bezug auf die möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen seitens der Anbieter der Internetdienstleistungen.  Im Interesse der deutschen Nutzer...