Wie Angreifer einen DoS-Angriff in Microsoft Active Directory durchführen können

In diesem Blog untersuchen wir, wie Angreifer eine Einschränkung in den Active Directory (AD) Security Identifiers (SIDs) ausnutzen können, um Benutzer aus der Domäne auszusperren, ohne dass sie über Administratorrechte verfügen müssen. Durch die Überlastung des Zugriffstokens eines Benutzers mit Gruppenmitgliedschaften können Angreifer jeden Benutzer – auch Domänenadministratoren – ins Visier nehmen, was zu einem Denial-of-Service-Ereignis (DoS) führt.

Absicht:

Aufzeigen, wie Angreifer ein bestehendes Sicherheitsproblem ausnutzen können, um einen DoS-Angriff auf Benutzer in einer Microsoft-Domain-Active-Directory-Umgebung zu starten.

Zusammenfassung

Diese Schwachstelle betrifft Benutzer von Microsoft Active Directory. Obwohl sie verantwortungsbewusst gemeldet wurde, lehnte Microsoft es ab, sie zu beheben, und stufte sie als weniger als „kritisch“ oder „schwerwiegend“ ein. Das Unternehmen argumentierte, dass es sich eher um ein Problem der Richtlinien handele – da die Erstellung von Gruppen von Domänenadministratoren gesteuert wird – als um einen technischen Fehler.

Pentera veröffentlicht diese Informationen für die breitere Sicherheitsgemeinschaft, da wir befürchten, dass Microsoft das Risiko in seiner Bewertung unterschätzt. Dieses Problem widerspricht dem Prinzip der geringsten Privilegien: Ein Benutzer mit minimalen Berechtigungen zum Erstellen von Gruppen sollte nicht in der Lage sein, den domänenweiten Zugriff zu beeinflussen. Selbst wenn Domänenadministratoren einem Benutzer die Möglichkeit geben, Gruppen zu erstellen, wird erwartet, dass ausreichende Einschränkungen vorhanden sind, um einen solchen Angriff zu verhindern.

Wir sind der Meinung, dass es sich hierbei im Grunde um ein technisches Problem handelt, da die Software Beschränkungen durchsetzen sollte, die verhindern, dass Benutzer Aktionen ausführen, die über ihre vorgesehenen Berechtigungen hinausgehen.

Wie funktioniert der Angriff?

Beim Anmelden generiert der Domänencontroller ein Zugriffstoken, das alle Sicherheitskennungen (Security Identifiers, SIDs) für die Gruppen enthält, denen ein Benutzer angehört. Wenn die Anzahl der SIDs einen bestimmten Grenzwert (in der Regel 1.024) überschreitet, schlägt die Anmeldung fehl.

Die identifizierte Schwachstelle ermöglicht es einem Angreifer, einen Benutzer so vielen Gruppen zuzuweisen, dass dieser SID-Grenzwert überschritten wird. Wenn der Benutzer das nächste Mal versucht, sich anzumelden, kann das System das Zugriffstoken nicht generieren, was zu einem Anmeldefehler führt. Dadurch werden Benutzer – einschließlich Domänenadministratoren – effektiv ausgesperrt, was zu erheblichen Ausfallzeiten und Störungen führt.

In allen Microsoft AD-Umgebungen ist die Gruppe „Domain Users“ eine Standardgruppe. Durch gezielte Angriffe auf diese Gruppe kann ein Angreifer „Domain Users“ zu genügend Sicherheitsgruppen hinzufügen, um den SID-Schwellenwert zu überschreiten, was zu einem DoS für die gesamte Domäne führt und alle Benutzer aussperrt.

Diese Schwachstelle ist besonders für Unternehmen mit großen Domänen von Bedeutung, da sie möglicherweise über Schatten-Administratorkonten verfügen, die für diesen Angriff ausgenutzt werden können.

Ist meine Organisation betroffen?

Diese Schwachstelle ist vor allem für Unternehmen mit einer großen Anzahl von Domain-Benutzern oder Schattenadministratoren relevant.

An wen richtet sich dieser Artikel?

Dieser Artikel richtet sich insbesondere an CISOs und Mitglieder des Blue Teams.

Schlussfolgerung

Lesen Sie den vollständigen Artikel, um den Angriff im Detail zu verstehen, sowie die vorgeschlagenen Schritte zur Schadensbegrenzung und Skripte für eine wirksame Prävention.

Quelle: Pentera-Blog

---

Bild/Quelle: https://depositphotos.com/de/home.html