Privilegierte Windows Accounts - Die konkrete Gefahr der kritischen Komponente

Privilegierte Windows Accounts

Die konkrete Gefahr der kritischen Komponente

Dominik Altermatt
von Dominik Altermatt
am 20. September 2018
Lesezeit: 10 Minuten

Keypoints

Diese konkrete Gefahr geht von priveligierten Windows-Konten aus

  • Privilegierte Windows Accounts sind eine kritische Komponente
  • Noch vernachlässigen Unternehmen das Thema
  • Mit Windows 10 und Server 2016 sind viele neue Features zum Thema verfügbar
  • "Alte Gewohnheiten" stellen ein Risiko dar
  • Privileged Account Management, wenn nicht vorhanden, gilt es zu priorisieren

Privilegierte Accounts sind als kritisch zu betrachtende Komponente einer IT-Infrastruktur anzusehen. Wer sich nicht mit den eminenten Risiken des Themas beschäftigt und seine privilegierten Windows Accounts, wie zum Beispiel Domain Administratoren, nicht adäquat schützt, exponiert seine Infrastruktur den wachsenden Bedrohungen von Cybercrime. Die Praxis zeigt, dass fahrlässiges Verhalten doch immer wieder anzutreffen ist. Sind gerade hoch privilegierte Accounts exponiert, reicht es oft schon aus, dass ein Angreifer den “richtigen” Client kompromittiert, um die Kontrolle über eine komplette Infrastruktur zu erlangen.

Privilegierte Accounts zu schützen ist in der Theorie nicht kompliziert, einige wenige Prinzipen sind zu beachten. In der Praxis sind dann doch viele unterschiedliche Faktoren mit einzubeziehen, um adäquates Handling und Management sicherzustellen. Dabei gibt es einige ganz praktische Massnahmen, welche gewisse Risiken minimieren, die sehr schnell und einfach implementiert werden können. In diesem Artikel sollen eben solche aber auch tiefgreifenderen Konzepte vorgestellt werden.

Exponierte privilegierte Accounts

Wann sind privilegierte Accounts exponiert? Eine Art dies einfach zu erklären wäre: umso “näher” ein privilegierter Account dem Internet ist, umso exponierter ist er. Also mit Domain-Administrator-Rechten auf einem Standard-Client einzuloggen exponiert diesen Account. Die Sicht eines Angriffes ist meist auch von aussen nach innen, also zum Beispiel:

Eine gängige Annahme in der IT-Security ist, dass stehts von einem kompromittierten Client ausgegangen werden muss. Folgend eine grobe Beschreibung von möglichen Aktionen eines Angreifers:

  1. Zugriff auf ein System mittels Infizierung durch Schadsoftware (Social Engineering, Spear-Phishing) oder direkten physischen Zugriff (z.B. internen/externe Mitarbeiter), meist mit nicht-privilegierten Benutzer
  2. Privilege Escalation zu lokalen Administrator-Rechten mittels Ausnutzen von Schwachstellen oder anderen Techniken
  3. Beschaffung von NTML Hashes, respektive Auslesen der Hashes der auf dem System eingeloggten Benutzen (Mimikatz, responder.py, Network Sniffing z.B. mit ettercap)
  4. Lateral Movement mit den zusammengetragenen Hashes oder Tickets (Pass the Hash oder Pass-the-Ticket, etc.) um Zugriff auf weitere Systeme zu erlangen (Bloodhound)
  5. Wiederholen von Schritt 3 & 4 bis für das Angriffsziel geeignete Rechte im Netzwerk erlangt werden konnten
  6. Zugriff auf das Zielsystem (z.B. Zahlungsserver) und Ausführen bösartiger Aktionen (z.B. betrügerische Zahlung ausführen)

Obige beschrieben Punkte können sehr langsam von statten gehen. Angreifer müssen vorsichtig und “lautlos” vorgehen, um eine allfällige Detektion zu verhindern. Für Schritt 1-5 des Angriffspfads können gut mehrere Monate aufgewendet werden.

Folgend einige Beispiele von exponierten privilegierten Accounts aus der Praxis:

Defensive Techniken

Folgend nun einige Konzepte und Praktiken, die als Startpunkt oder Inspiration zur Sicherung der eigenen privilegierten Accounts dienen.

Mit privilegierten Accounts sind nicht nur Administratoren und Domain-Administratoren gemeint. Dazu gehören viele der Service Benutzer sowie Standard Accounts mit Zugriff auf sensitive Daten (Geschäftsleitung und Management, Finanzabteilungen, etc.).

Prozesse und interne Weisungen

Folgende Prinzipen und Konzepte sollten sich in den Security Policies für Identify and Access Management (IAM) grundsätzlich und Privileged Account Management (PAM) im Spezifischen wiederfinden:

Wer einen umgänglichen Anforderungskatalog für seine Security Policies bezüglich Access Management sucht, kann sich bei den Access Controls AC2, AC3, AC5 und AC6 aus dem Katalog des NIST Cybersecurity Framework bedienen.

Sind interne Weisungen und Policies vorhandenen, müssen diese auch um- und durchgesetzt werden können, ansonsten existiert die “Sicherheit” nur auf dem Papier. Daher gehören auch Prozesse zur Durchsetzung und Kontrolle der Weisungen wie auch Ressourcen für die Implementation und Betrieb stets dazu.

Unangenehm aber nötig ist die Definition über die Handhabung bei Verstössen gegen die Weisung. Es kommt vor, dass sich der eine oder andere IT-Mitarbeiter über die Jahre an Domain-Administrator-Rechte seines normalen Accounts gewöhnt hat und diese nicht gerne abgeben bez. nicht mit mehreren Accounts arbeiten möchte. Nichts destotrotz wird mit den “alten Gewohnheiten” das Risiko respektive die Exponierung von privilegierten Accounts teilweise massiv erhöht.

Windows Active Directory

Microsoft bietet eine umfassende und praktische Dokumentation mit dem Titel Best Practices for Securing Active Directory an. Darin finden sich diverse Kapitel, welche sich mit der Sicherung von Accounts und privilegierten Accounts beschäftigen.

Weitere Microsoft Ressourcen finden sich unter folgenden Links:

Das Studium dieser Lektüre ist empfehlenswert. Unter anderen sind folgende Themen aus den Microsoft-Unterlagen spannend:

Da die Dokumentation von Microsoft sehr umfangreich und weitreichend ist, anbei einige wenige Punkte, die gleich Umgesetzt werde können (Quickwins). In späteren Umsetzungsphasen können den obigen verlinkten Anleitungen von Microsoft im Detail umgesetzt werden.

Konsequente Einhaltung der Prozesse

Passwort Policy

Sehr starke Passwort Policy (komplexe und keine sprechenden Passwörter, min. 24 Zeichen), für mindestens folgenden Benutzer/Gruppen:

Client und Server Hardening

Folgende Group Policy Logon Rights Restrictions verhindern viele der Lateral Movement Techniken:

Weitere Hardening Guides:

Einsatz des Tools Bloodhound für AD. Damit lässt sich in kurzer Zeit ein Bild darüber verschaffen welche Benutzer mit welchen Rechten auf welchem System eingeloggt sind. Damit lassen sich mögliche Angriffspfade und ein entsprechendes Nichteinhalten von internen Richtlinien erkennen, sowie das Erkennen von Schwachstellen an denen nachgebessert werden kann.

Logging und Monitoring

Zu Letzt das Thema Logging und Monitoring von privilegierten Account:

Nicht in der obigen Liste geführt wird Netzwerksegmentierung, mindestens zwischen der Client- und Server-Population. Falls nicht vorhanden, ist einiges an Aufwand nötig um dies umzusetzen. Jedoch gehört die Abschottung von den Servern zu den am Internet exponierten Clients zu den Grundpfeilern eines modernen Security-Konzepts.

Fazit

Priviligierte Benutzer werden in der Praxis noch nicht flächendeckend und ausreichend geschützt. Dadurch werden Angriffe auf eine entsprechende Infrastruktur vereinfacht. Fehlt dazu noch eine adäquates Security Logging und Monitoring, kann eine allfällige Kompromittierung für lange Zeit nicht erkannt werden. Unter Umständen wird so die gesamte Infrastruktur teils fahrlässig exponiert.

Microsoft hat mit ihrer aktuellen Software auf die gängigen Angriffs-Pfade reagiert und umfangreiche Dokumentationen dazu erstellt sowie Funktionen und Tools bereitgestellt, um unter anderem den Missbrauch von privilegierten Accounts zu erschweren. Jedoch sind die Risiken und Lösungen doch noch in einigen Unternehmen nicht bekannt. Abschliessend sind die hier vorgestellten Punkte nicht, aber die Konzepte und Tools können in den gängigen AD-Umgebungen als Startpunkt und Inspiration dienen.

Über den Autor

Dominik Altermatt

Dominik Altermatt arbeitet seit 2003 in der IT-Branche. Unter anderem hat er sich mehrere Jahre mit Data Leakage Prevention bei einer Grossbank beschäftigt. Heute liegen seine Schwerpunkte neben klassischen Penetration Tests bei der Einführung und der Weiterentwicklung von IT-Security-Management-Prozessen. (ORCID 0000-0003-4575-4597)

Links

Sie wollen Ihr Log und Monitoring auf das nächste Level bringen?

Unsere Spezialisten kontaktieren Sie gern!

×
TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Traffic-Analyse mit Windows-Boardmitteln

Traffic-Analyse mit Windows-Boardmitteln

Dominik Altermatt

Cisco WebEx Online Meeting Security

Cisco WebEx Online Meeting Security

Dominik Altermatt

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv