Podcast: Warum die Sicherung von Active Directory ein Albtraum ist

  • Forscher geben eine Vorschau auf eine Arbeit, die auf der Black Hat vorgestellt werden soll und die zeigt, wie AD-Fehlkonfigurationsschulden” eine schwindelerregende Anzahl von Angriffsmöglichkeiten bieten, wie z. B. in PetitPotam.

    In dieser Woche hat Microsoft in aller Eile einen Fix für einen Windows NT LAN Manager Exploit namens “PetitPotam” veröffentlicht, der entfernte Windows-Systeme dazu zwingt, Passwort-Hashes preiszugeben, die leicht geknackt werden können.

    Die Aufregung wirft die Frage auf: Warum ist die Sicherung von Microsoft Active Directory (AD) ein solcher Alptraum?

    Als der Sicherheitsforscher Gilles Lionel den Fehler letzte Woche zum ersten Mal entdeckte, veröffentlichte er auch Proof-of-Concept (PoC) Exploit-Code, um den Angriff zu demonstrieren. Der PoC demonstrierte, wie ein PetitPotam-Angriff mit einem Exploit gekoppelt werden kann, der auf die Windows Active Directory Certificate Services (AD CS) abzielt, die die Public Key Infrastructure (PKI)-Funktionalität bereitstellen.

    Angriffswege in AD sind ein großes Problem für Unternehmen. Es ist nicht nur PetitPotam; AD war auch Teil des Problems bei den SolarWinds-Angriffen.

    Die SpecterOps-Forscher Lee Christensen und Will Schroeder, die vor kurzem einen Bericht über den Missbrauch von AD CS mit dem Titel Certified Pre-Owned (PDF) veröffentlicht haben, zu dem sie nächste Woche auch eine Sitzung auf der Black Hat abhalten werden, versuchen, die Sicherheitsgemeinschaft dazu zu bringen, das AD-Problem im Sinne von “Fehlkonfigurationsschulden” zu betrachten: d. h. inkrementelle Fehlkonfigurationen, die sich im Laufe der Zeit aufbauen, so dass Angreifer praktisch garantiert einen Angriffspfad zu ihrem Ziel in jedem Netzwerk finden.

    Das ist eine ernste Situation. AD wird von über 90 Prozent der Fortune 1000-Unternehmen für die Identitäts- und Zugriffsverwaltung verwendet. Unternehmen benötigen Lösungen, die den Schutz vereinfachen: Lösungen, die den Nebel durchdringen und einen besseren Einblick in AD ermöglichen.

    Christensen und Schroeder waren so freundlich, im Threatpost-Podcast über das Thema zu sprechen und gute Nachrichten über neue Tools zu verkünden, die helfen können. Mit dabei war auch ihr Kollege Andy Robbins, der ein kostenloses und quelloffenes Angriffspfad-Mapping-Tool namens BloodHound mitentwickelt hat.

    Unten finden Sie Links zu den Tools, die unsere Gäste besprochen haben, sowie Links zu ihrem Papier und ihrem Blogbeitrag.

    Sie können den Podcast hier herunterladen, die Folge unten anhören oder nach unten scrollen, um eine leicht bearbeitete Abschrift zu lesen.

    Holen Sie sich die Tools

    Nachstehend finden Sie Links zu den im Podcast besprochenen Tools sowie einen Link zum Blogbeitrag der Forscher und einen Link zum vollständigen, 140-seitigen Whitepaper:

    • BloodHound
    • PSPKAudit und Zertifizieren auf GitHub
    • AD Certificate Services Forschungs-Blogpost
    • Vollständiges Whitepaper zur AD-Zertifikatsdienste-Forschung (PDF)

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/27093135/threatpost-webinar-300x51.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” an, das in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST stattfindet, und finden Sie heraus, wo genau Angreifer Sie ins Visier nehmen und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    Leicht bearbeitetes Transkript

    Lisa Vaas: Willkommen zum Threatpost-Podcast. Ich bin Ihre Gastgeberin, Lisa Vaas. Meine heutigen Gäste sind Lee Christiansen und Will Schroeder, die SpecterOps-Forscher, die hinter dem jüngsten Bericht mit dem Titel Certified Pre-owned: Abusing Active Directory Certificate Servers” über Angriffswege in Microsoft Active Directory.

    Dies ist ein großes Problem für Unternehmen. Tatsächlich war Active Directory ein Teil des Problems während des SolarWinds-Angriffs. Bei uns ist auch ihr Kollege Andy Robbins, ein Mitentwickler eines kostenlosen und quelloffenen Angriffspfad-Mapping-Tools namens BloodHound. Das Trio wird auf der Black Hat einen Vortrag über diese Forschung halten.

    Willkommen, Lee, Will und Andy, es ist uns eine Freude, Sie in der Sendung zu haben. Könnt ihr uns ein wenig über euren Hintergrund erzählen?

    Will Schroeder: Sicher. Mein Name ist Will Schroeder. Mein Handle ist @harmj0y auf Twitter, GitHub und überall sonst. Ich bin technischer Architekt bei SpecterOps und beschäftige mich seit vielen Jahren mit offensiver Sicherheit, PowerShell, Active Directory, Angriffswerkzeugen und solchen Dingen.

    Lee Christensen: Mein Name ist Lee Christiansen. Auf Twitter nenne ich mich @tifkin_, und ich bin auch ein technischer Architekt hier bei SpecterOps. Und ich bin hier bei SpecterOps an Red Teaming, Forschung und Entwicklung und der Entwicklung von Fähigkeiten beteiligt. Ich helfe bei der Unterstützung unserer offensiven Dienste.

    Andy Robbins: Mein Name ist Andy Robbins. Wie Sie bereits erwähnt haben, bin ich, Lisa, einer der Miterfinder des freien und quelloffenen Tools BloodHound. Will ist auch einer der Miterfinder dieses Tools. Mein Hintergrund liegt in der Verwaltung von Active Directory-Umgebungen. In den letzten sechs oder sieben Jahren habe ich auch im Red Team gearbeitet, und jetzt arbeite ich Vollzeit an der Entwicklung von BloodHound.

    Lisa Vaas: Nun, großartig. Ich danke Ihnen vielmals. Es ist ein Vergnügen, Sie hier zu haben.

    Machen Sie weiter, meine Herren. Wir sind alle gespannt darauf, zu hören, was für ein Albtraum es ist, Active Directory zu sichern, wie Angreifer davon profitieren konnten und wie Sicherheitsexperten das Problem heute angehen. Also fahren Sie fort.

    Will Schroeder: Ja. Ich will sagen, dass die Leute oft fragen, warum Active Directory so ein Problem ist.

    Wissen Sie, die Antwort besteht aus vielen verschiedenen Teilen. Ich habe also sozusagen den ersten Teil gegeben und dann den zweiten Teil, und Sie können daran anknüpfen, aber eines der Dinge ist, dass es definitiv allgegenwärtig ist. Etwa 90 bis 95 Prozent der Unternehmen nutzen Active Directory in irgendeiner Form. Das bedeutet, dass Angreifer ihre Fähigkeiten gegen Active Directory verfeinern müssen.

    Und sie sind in der Lage, dieselben Angriffe, Tooling-Fähigkeiten und alles andere wiederzuverwenden, um eine große Anzahl von Organisationen auf der ganzen Welt anzugreifen. Für Angreifer lohnt es sich also definitiv, in Tools und offensive Forschung gegen Active Directory zu investieren, da diese für Angriffe auf eine große Anzahl von Organisationen wiederverwendet werden können.

    Lee Christensen: Ja, ich würde sagen, ein weiterer wichtiger Aspekt ist, dass Active Directory in den meisten Windows-Umgebungen das zentrale Authentifizierungssystem ist. Das bedeutet, dass es für die Verwaltung der Benutzer, Passwörter und Konten aller Personen und für die Konfiguration der Computer in der gesamten Organisation verantwortlich ist und daher einen großen Explosionsradius hat. Wenn also etwas in Active Directory kompromittiert wird, kann oft das gesamte Netzwerk in Mitleidenschaft gezogen werden. Es gibt also auch eine Menge Komponenten, die missbraucht werden können. Je nach den verschiedenen Komponenten, auf die man Zugriff hat, kann man andere Ziele erreichen.

    Über die reine Authentifizierung hinaus kann man also einen Server kompromittieren und sich Zugang zu den Daten verschaffen. Einfach durch den Missbrauch all dieser Funktionen, die Bestandteil von Active Directory sind.

    Andy Robbins: Ja, ich glaube, das Einzige, was ich noch hinzufügen würde, Will und Lee, Sie haben erwähnt, dass Active Directory allgegenwärtig und leistungsstark ist.

    Und für die meisten Unternehmen ist es von grundlegender Bedeutung, da ihre gesamten Geschäftsprozesse auf der Verfügbarkeit, Stabilität und Sicherheit von Active Directory aufbauen und sich darauf verlassen. Die einzige andere Sache, die ich hinzufügen würde, ist, dass Active Directory zwar unglaublich mächtig für das Unternehmen und für Angreifer ist, aber aus unserer Perspektive als Angreifer ist es relativ leicht anzugreifen. Es ist unglaublich schwierig, es angemessen zu verteidigen. Ich denke, der Hauptgrund dafür ist, dass Active Directory und Windows beide so undurchsichtig sind, dass es sehr schwierig ist, die Frage zu beantworten, wer die Kontrolle über ein anderes Objekt hat oder wer die Kontrolle über den Computer hat, oder sogar andersherum: Wie mächtig ist ein beliebiger Benutzer oder eine beliebige Gruppe, wenn es sich um einen Benutzer oder eine Gruppe handelt?

    Die integrierten Werkzeuge, die Administratoren in Windows und Active Directory zur Verfügung stehen, machen es unglaublich schwierig, diese Fragen zu beantworten. Und so sind Dinge wie der Zugriff mit geringsten Rechten, die angeblich die beste Praxis sind, für die meisten Unternehmen völlig unpraktisch, um sie überhaupt erst zu implementieren. Geschweige denn, sie über einen längeren Zeitraum aufrechtzuerhalten.

    Will Schroeder: Und der letzte Punkt, den ich noch anfügen möchte, ist die Komplexität von Active Directory, zusammen mit der Tatsache, wie einfach es manchmal sein kann. Eines der Dinge, die wir gesehen haben, und ein Begriff, den wir versucht haben, zu fördern, ist die Fehlkonfigurationsschuld, bei der wir sehen, dass Active Directory über einen langen Zeitraum in einer Umgebung war.

    Diese scheinbar kleinen Änderungen, die vielleicht harmlos aussehen oder was auch immer, können sich anhäufen und zu einer Verkettung führen, die zu einer ungewollten Kompromittierung der Umgebung führt. Für Administratoren ist es schwer zu erkennen, welche Auswirkungen diese wirklich kleinen Änderungen auf die Sicherheit des gesamten Systems haben können.

    Lisa Vaas: Sie haben die Konfiguration von Active Directory als einen Albtraum bezeichnet.

    Will Schroeder: Das kann es sein. Wir alle drei beschäftigen uns seit vielen Jahren mit der Sicherung und dem Angriff auf Active Directory. Die Forschung, die Lee und ich auf der Black Hat zu den Active Directory Certificate Services durchgeführt haben, über die wir hier sprechen, führt zum Beispiel diese ganze zusätzliche Angriffsfläche ein, von der viele Leute nicht wirklich wussten oder nicht verstanden haben, dass es diesen Teil von Active Directory schon seit Jahrzehnten gibt, und er bietet Unternehmen eine gängige Möglichkeit, ihre Umgebungen auf eine andere Art und Weise falsch zu konfigurieren, die eine vollständige Kompromittierung der Domain ermöglicht. Wir haben das schon oft bei Abteilungen und Leuten gesehen. Sie waren sich nicht einmal im vollen Umfang bewusst, dass ihre Teams Active Directory-Zertifikatsdienste verwenden oder welche Auswirkungen dies auf die Sicherheit haben könnte.

    Ich denke, das ist ein gutes Beispiel dafür, dass, obwohl es das System Active Directory schon lange gibt, immer noch Dinge auftauchen, deren Auswirkungen auf die Sicherheit wir als Branche oder als Unternehmen nicht vollständig verstanden haben. Man kann sich nicht für Dinge absichern, die man nicht vollständig versteht, und es gibt einfach immer mehr Dinge, die auftauchen.

    Lee Christensen: Ja, ich denke, das spricht für ein gewisses Problem. Unsere Branche als Ganzes veraltet und modernisiert ältere Technologien, die wir haben. Man denke nur an Dinge wie Active Directory Certificate Services oder einige der jüngsten Schwachstellen, die aufgetaucht sind, und an Spooler und diese alten Technologien, die es schon ewig gibt.

    Sie wissen, dass sie von Microsoft oder anderen noch nicht gestoppt worden sind. Sie sollten sich bei anderen Anbietern umsehen, um ihre Technologien auf moderne Technologien umzustellen. Das heißt, sie schreiben sie vielleicht in einer sichereren Sprache um oder verwerfen Funktionen. Der Schwerpunkt liegt also eher darauf, neue Funktionen hinzuzufügen, was in den Augen der Angreifer nur zu einer größeren Angriffsfläche führt.

    Das ist mehr, was ich missbrauchen und ausnutzen kann, wohingegen man sich sehr wenig darauf konzentriert, Dinge zu deaktivieren, die nicht mehr aktiviert sein müssen. Oder, wissen Sie, ein großer Teil dieses Codes wurde vielleicht vor 20 Jahren geschrieben, lassen Sie uns das neu schreiben und vielleicht eine neuere, sicherere Sprache wie Rust oder, wissen Sie, einfach diese neueren Sprachen, die einfach sicherer sind.

    Anstatt, Sie wissen schon, diese alten, Sie wissen schon, gefährlichen Speicher, unsichere Sprachen zu verwenden.

    Lisa Vaas: Na gut. Und Andy, wie sieht es aus deiner Sicht aus?

    Andy Robbins: Admins können eine Sache in der Umgebung tun. Vielleicht ist diese eine Sache, dass sie einen Principal zu einer Sicherheitsgruppe hinzufügen oder eine Berechtigung für ein bestimmtes Objekt erteilen.

    Nichts in Active Directory geschieht in einem Vakuum. Es gibt Verbindungen und Beziehungen zwischen all diesen verschiedenen Objekten. Wenn also jemand zu einer Sicherheitsgruppe hinzugefügt wird, bedeutet das, dass er alle Privilegien dieser Sicherheitsgruppe erhält. Und die Privilegien, die diese Gruppe hatte, können missbraucht werden, um vollständige Angriffspfade zu bilden, die dann zur Kompromittierung eines Domänenadministrators oder eines Unternehmensadministrators oder was auch immer führen, und etwas, das Will und Lee ebenfalls erwähnten, ist, dass es all diese Fehlkonfigurationsschulden gibt, die sich über die Jahre aufbauen.

    Es wurde auf älterer Technologie aufgebaut. Ein Großteil von Active Directory wurde also vor 20 Jahren geschrieben. Viele aktuelle Windows-Betriebssysteme erhalten Code von Windows NT oder vielleicht sogar Windows 95. Diese Angriffspfade ergeben sich also aus diesen unterschiedlichen und scheinbar unzusammenhängenden Konfigurationen und Verhaltensweisen der Benutzer.

    Das ist nichts Neues, diese Angriffspfade gab es schon die ganze Zeit, aber sie waren für AD-Administratoren unsichtbar. Und weil man diese Angriffspfade nicht sehen kann, kann man auch nicht wirklich hoffen, dass man etwas dagegen tun kann.

    Lisa Vaas: Es scheint also, dass die Sichtbarkeit ein großes Problem ist.

    Andy Robbins: Auf jeden Fall. Ja. Ja, ja.

    Und ist das der Punkt, an dem die Kartierung ins Spiel kommt, ist das der Punkt, an dem BloodHound ins Spiel kommt?

    Sicher. Ja. Wir haben also, Will, Rowe Hunt und ich, BloodHound aus unserer Red-Team-Perspektive entwickelt. Wie lange ist das her, sechs Jahre? Vor fünf Jahren im Jahr 2016. Und wir benutzen es. Wir haben es ursprünglich für genau diesen Zweck entwickelt, um diese Angriffspfade zu kartieren. Und wir haben herausgefunden, dass es diese langwierige, aber sehr zuverlässige Angriffstechnik gibt, die als Derivat, lokaler Admin oder Identitätsschneeballeffekt bezeichnet wird.

    Unser Team und andere Teams kamen also alle auf diese Art von Methodik. Vor allem, als Microsoft immer besser wurde und nicht mehr überall serverseitige Exploits zur Verfügung stellte und die Softwareanbieter bei denselben Organisationen immer besser wurden.

    Wir werden immer besser in ihren Praktiken zur Verwaltung von Schwachstellen. Die alte Methode, einen Metasploit-Exploit einzusetzen, um eine Shell zu erhalten, wurde daher immer seltener angewandt. Aber diese Angriffspfade, die wir von Hand finden konnten, waren schon die ganze Zeit vorhanden. Wir brauchten sie nur nicht mit BloodHound aufzuspüren.

    BloodHound automatisiert das Auffinden dieser Angriffspfade vollständig für uns. Die kostenlose und quelloffene Version von BloodHound. Sie wurde für Red Teamer von Red Teamern für diesen speziellen Anwendungsfall entwickelt. Aber es bietet die von Ihnen angesprochene Transparenz, Lisa, so dass Sie leicht Fragen beantworten können, z. B. wer ein lokaler Administrator auf diesem Computer ist.

    Es ist tatsächlich erstaunlich schwierig, diese Frage nur mit Windows zu beantworten oder wer den DC-Sync-Angriff durchführen kann. Es ist sehr schwer, das zu erkennen und mit den integrierten Tools von Microsoft zu überprüfen, während es mit dem kostenlosen und quelloffenen BloodHound ein Kinderspiel ist. Verteidiger können also diese kostenlose Software nutzen, um zu sehen, wie groß das Problem mit den Angriffswegen ist.

    Und ich bin hier, um Ihnen zu sagen, dass das Problem normalerweise ziemlich groß ist. Sie können diese kostenlose Version der Software auch verwenden, um die Berechtigungen zu überprüfen, sowohl für eingehende als auch für ausgehende Zugriffe. Also wer hat Berechtigungen, eingehend gegen alles, aber auch ausgehend. Mein Benutzer soll also keine lokalen Administratorrechte haben. Wo und wie hat er lokale Administratorrechte, vielleicht über eine Gruppenzugehörigkeit, vielleicht über einen Angriffspfad, und mit der kostenlosen Version der Software kann man mit relativ geringem Aufwand Millionen von Angriffspfaden ausschalten. Wenn man also nur kleine Änderungen an den Berechtigungen für dieses Objekt hier vornimmt, wenn man kleine Änderungen am Benutzerverhalten für diese Benutzer hier vornimmt, kann man sehen, wie die Zahl der Angriffspfade allein durch die Verwendung der kostenlosen Version sinkt.

    Lisa Vaas: Das klingt nach einem guten Ergebnis. Andy, bevor wir weitermachen, haben Sie den Begriff Credential Shuffling verwendet, den ich nicht kenne. Ich kann mir denken, was das sein könnte, aber möchten Sie mir erklären, was das ist?

    Andy Robbins: Sicher. Ja. Sagen wir also, ich bin nur ein einfacher, normaler Benutzer, ich mache mein Ding, und sagen wir mal, Buchhaltung, nur als kanonisches Beispiel, und sagen wir mal, es stellt sich heraus, dass ich lokaler Administrator auf dem Computer bin, den Lee benutzt, und dann stellt sich heraus, dass Lee lokaler Administrator auf dem Computer ist, der das hier benutzen wird.

    Obwohl ich also nicht direkt über den lokalen Administrator auf Wills Computer verfüge, kann ich zu Lees Computer gehen, seine Anmeldedaten stehlen und sie dann irgendwie umwandeln. Und sie in einen Administrator auf Wills Computer verwandeln, damit ich diesen Angriffspfad ausführen kann. In diesem Zusammenhang sind wir also auf Anmeldeinformationen angewiesen. Daher stammt auch der Begriff “Credential Shuffle”.

    Aber diese Angriffswege beschränken sich keineswegs nur auf Anmeldeinformationen, sondern auch auf die Kontrolle anderer Objekte, die Kontrolle von Zertifikatsvorlagen, die Kontrolle von irgendetwas anderem, die Kontrolle von niemandem, was auch immer Sie wollen.

    Lisa Vaas: Ich danke Ihnen für diese Erklärung. Was tun unsere Sicherheitsexperten derzeit gegen dieses Problem?

    Will Schroeder: Viele Sicherheitsexperten, nicht alle, aber viele, neigen dazu, sich auf einen bestimmten Angriff zu konzentrieren oder auf das, was neu ist, ohne das gesamte System von Active Directory zu verstehen, und wie es eine Organisation mit vielen dieser neuen Angriffe wirklich beeinflussen kann.

    Wie zum Beispiel die PetitPotam-Sache, die in der letzten Woche in den Nachrichten aufgetaucht ist, die in Kombination mit unserer Active Directory Certificate Services-Forschung verwendet wird. Es ist großartig, diesen Angriff nutzen zu können und zu zeigen, dass etwas kompromittiert werden kann und welche Risiken für eine Organisation bestehen.

    Aber das ist nur ein Teil dieses riesigen Systems, über das Andy gesprochen hatte, und die Komplexität dieses Systems erfordert Zeit und Mühe, um es zu verstehen. Fachleute haben keinen vollständigen Überblick über die Feinheiten des gesamten Systems und wie sich diese Dinge wirklich auswirken können.

    Aus diesem Grund haben Lee und ich uns zum Beispiel mit den Active Directory-Zertifikatsdiensten beschäftigt, weil wir sie nicht vollständig verstanden haben. Und dann erkannten wir all diese neuen Angriffswege und Angreifertechniken, und die Dinge fielen irgendwie aus diesem Grund heraus.

    Lisa Vaas: Wann haben Sie begonnen, sich mit diesem Thema zu befassen und warum? Was hat Sie dazu veranlasst, sich damit zu befassen?

    Lee Christensen: Wir haben Anfang dieses Jahres damit begonnen, dieses Problem zu untersuchen, also etwa im Januar, und ich meine, wir wussten über Active Directory Certificate Services Bescheid. Wir hatten davon gehört, von einigen der Angriffe, die man dagegen durchführen kann, aber wir hatten uns noch nicht wirklich damit beschäftigt. Dann las ich eines Tages online einige Dokumentationen und fand eine interessante Zeile: Ich wusste gar nicht, dass man sich mit einem Zertifikat authentifizieren kann.

    Oder bei LDAP auf eine bestimmte Art und Weise. Und ich habe das Will mitgeteilt, und das war der Startschuss für unsere gesamte Forschung hier. Ursprünglich dachten wir nur, dass wir ein paar Dinge sehen, die interessant sind. Wir haben uns damit befasst. Wir haben all diese verschiedenen Möglichkeiten gefunden, wie man Active Directory Certificate Services missbrauchen kann.

    Ursprünglich wollten wir nur einen kurzen Blog-Beitrag darüber verfassen. Im Laufe unserer Nachforschungen wurde aus dem Blogeintrag dann ein 140-seitiges Whitepaper. Sie wissen schon, all die verschiedenen Arten von Techniken, die Angreifer missbrauchen können, und Verteidigungsmaßnahmen unter Verwendung von Active Directory Certificate Services.

    Active Directory Certificate Services gibt es bereits seit dem Jahr 2000. Er war also schon sehr, sehr alt und in den meisten Netzwerken vorhanden. Die meisten großen Netzwerke haben ihn. Und es hat einfach so vor sich hin getuckert, wie ein alter Heizkessel im Keller, der funktioniert, aber man weiß nicht unbedingt, wie es um ihn steht oder wie gut er ist.

    In vielen Unternehmen hat er gut funktioniert, aber sie haben ihn nicht wirklich gut inspiziert. Und so. Seit wir angefangen haben, uns die Dinge anzuschauen, haben wir einfach einige massive Fehlkonfigurationen festgestellt. Ich würde sagen, dass wir in 80 bis 90 % der Netzwerke, die wir bisher untersucht haben, Wege gefunden haben, um die Privilegien zu erweitern und das Netzwerk über Active Directory Certificate Services zu übernehmen.

    Und das wirft ein Schlaglicht auf die. Wie wenig die Leute darauf achten und wie im Laufe der Zeit diese falsch verstandenen Fehlkonfigurationen zu einem unsicheren Netzwerk geführt haben.

    Lisa Vaas: Wie finden Sie die Fehlkonfigurationen? Befinden sie sich in den Netzwerken der Kunden? Ist das etwas, wonach Sie online mit speziellen Scan-Tools suchen können?

    Will Schroeder: Nun ja, manchmal gibt es vielleicht ein kleines bisschen, gelegentlich gibt es eine Art von Aufdeckung durch etwas wie “Wir machen so etwas nicht”. Wir machen eine Menge Beratung für große Unternehmen, also machen wir eine Menge offensives und defensives Engagement. Wenn wir anfangen, neue Forschungen zu entwickeln, ein Handwerk, arbeiten wir auch mit vielen unserer Betreiber zusammen.

    Wir untersuchen die Sicherheitslage aktueller Netzwerke, in denen wir uns engagieren, und führen eine Art Bewertung durch. Alles, was wir verifiziert haben, ist also keine vollständige Stichprobe, aber unsere Stichprobe von Netzwerken basiert auf realen Daten, aber sie wird von uns durchgeführt.

    Und Bewertung Engagement oder interne Art Perspektive. Es ist keine, von dem, was wir getan haben, ist nicht wie an den Grenzen des Internets ausgesetzt oder etwas, das von außen gescannt werden kann.

    Lee Christensen: Und, und das meiste davon ist, dass wir einige Tools geschrieben haben, die uns helfen, diese Informationen im Kopf zu behalten. So. Eines dieser Tools haben wir bereits veröffentlicht.

    Als wir unser Papier veröffentlicht haben, haben wir ein Defensiv-Tool namens PSP K I Audit herausgebracht, ein Defensiv-Audit-Tool, das all diese von uns untersuchten Probleme aufzeigt. Das ist ein großartiges Tool, dessen Einsatz wir Verteidigern wärmstens empfehlen. Und auf der offensiven Seite werden wir dieses Jahr auf der Black Hat ein offensives Tool namens certify and it vorstellen.

    Es führt auch eine ähnliche Art von Enumeration durch, aber auf eine angreiferfreundlichere Art und Weise, und beide Seiten, wie wir, wir beide Tools werden das gleiche Ziel erreichen. Es sind nur unterschiedliche Zielgruppen, für die sie gedacht sind.

    Will Schroeder: Ich wollte sagen, dass wir uns entschieden haben, die Veröffentlichung der Offensiv-Tools für etwa 45 Tage zu blockieren, nachdem wir die defensiven Richtlinien in einem auf Verteidiger fokussierten Tool-Set veröffentlicht hatten. Das ist sehr schwierig, offensiv zu nutzen, um zu versuchen, jeden zu erreichen, wie eine Art, Sie wissen schon, wie, Sie wissen schon, volle Offenlegung über, Sie wissen schon, das sind die Probleme.

    Hier ist, wie Sie sie finden können. Wir nehmen an. Zu diesem Zeitpunkt, und das wurde bestätigt, werden weitere Leute damit beginnen, ein technisches Tooling auf der Grundlage der Informationen zu erstellen. Aber wir wollten, wissen Sie, ein ziemlich gutes Zeitfenster geben, bevor wir unser offensives Tooling tatsächlich veröffentlichen. Und wir arbeiten auch daran, eine Aufzählung aller Zertifikatsdienst-Fehlkonfigurationen in Bloodhounds zu integrieren.

    So werden die Leute von einem offensiven und defensiven Standpunkt aus in der Lage sein, diese zu überprüfen und sie dann zu sichern. Nun, das

    Lisa Vaas: Ich bin froh, dass Sie das angesprochen haben, denn ich wollte eigentlich fragen, was die Angreifer offensiv einsetzen, um nach falsch konfigurierten Systemen zu suchen.

    Will Schroeder: An diesem Punkt können Sie es verwenden.

    Die meisten dieser Informationen können also über Active Directory durch eldap, das Protokoll, das Informationen über verschiedene Active Directory-Objekte abruft, numeriert werden. Sobald also ein einigermaßen raffinierter Angreifer auf der Grundlage der Forschung weiß, was die Fehlkonfigurationen sind, ist es für ihn nicht so schwierig, sein eigenes Tooling zu schreiben.

    Diese Arten von Fehlkonfigurationen, weil wir, Sie wissen schon, die Probleme umreißen, und wir mussten die Probleme im Detail beschreiben. Wir hatten sie also in dem Papier detailliert beschrieben. Es ist also nicht so schwer für die Leute, ihre eigenen Abfragen für diese Art von Dingen zu erstellen. Auch hier haben wir das defensive Tool mit PSP K-Audit entwickelt, und das offensive Tool wird in etwa anderthalb Wochen im Rahmen des Blackout-Talks veröffentlicht werden.

    Und dann natürlich die Integration in Bloodhounds.

    Lisa Vaas: Integration von BloodHound in Ihre Tools.

    Will Schroeder: Oh, Entschuldigung. Wir integrieren die Aufzählung der Fehlkonfigurationen in den Blutkreislauf als separate Anstrengung. Ja, das tut mir leid.

    Lisa Vaas: Das war meine eigene Verwirrung. Nun, großartig. Wollt ihr mit mehr guten Dingen aus eurer Forschung fortfahren?

    Ah, denn wenn nicht, werde ich Sie bitten, vielleicht ein wenig darüber zu plaudern, wie diese Situationen in Active Directory spielen, welcher Arm, den Sie etwas erwähnt haben

    Will Schroeder: Ich werde einfach, oh ja. Oh, wir würden auf jeden Fall gerne darüber sprechen und darüber, wie das Zeug irgendwie da reinpasst. Ich möchte nur noch ein paar abschließende Bemerkungen speziell zur Zertifikatsforschung machen.

    Sicher. Es ist, wie schon erwähnt, es ist. Es gibt sie schon seit langer Zeit. Es hat also seine eigene Fehlkonfigurationsschuld. Und viele Leute verstehen das Astra-Verzeichnis, die Zertifikatsdienste, nicht vollständig, selbst Leute, die Active Directory kennen, verstehen die Active Directory-Zertifikatsdienste nicht vollständig.

    Wir haben also festgestellt, dass es für die Leute sehr einfach ist, diese Dienste auf sehr schwerwiegende Weise falsch zu konfigurieren. Und obwohl es nicht standardmäßig installiert ist, ist es in fast jeder Umgebung, die wir uns angesehen haben, extrem verbreitet. Sie hatten Active Directory-Zertifikatsdienste. Und wie sie erwähnt haben, ist das in etwa 80 bis 90 % der Umgebungen der Fall.

    Schwachstellen, die eine Eskalation der Privilegien ermöglichten, um Umgebungen zu übernehmen. Und da gibt es eine Menge. Und es gibt viele. Ja. Was wir als Angriff bezeichnen, ist ihre Technik rund um Active Directory-Zertifikatsdienste, die über den Eskalationsaspekt hinausgeht. Es geht also um den Diebstahl von Zertifikaten oder von aktuellen Nutzern, es kann effektiv eine andere Methode für den Diebstahl von Anmeldeinformationen sein, ohne dass Privilegienprozesse und solche Dinge berührt werden.

    Es kann eine Möglichkeit sein, Benutzerkonten und Maschinenkonten aufrechtzuerhalten. Wir haben auch einen Weg entwickelt, wie man, wenn man den privaten Schlüssel für eine Zertifizierungsstelle und Active Directory-Zertifikatsdienste stehlen kann, seine eigenen Zertifikate fälschen kann, und zwar so, dass sie nicht widerrufen werden können. Es gibt also eine große Menge an Tradecraft, die wir in dem Papier abdecken und die wir über die Eskalationsprimitive hinaus erforscht haben.

    Darüber hinaus gibt es definitiv einen großen Mangel an Anleitungen zur Erkennung und Reaktion auf Vorfälle sowie an Wissen über Active Directory-Zertifikatsdienste in den meisten unserer Umgebungen. Wie Leah sagten wir, dass wir nur sehr selten Berichte über Vorfälle gesehen haben, in denen es darum ging, welche Zertifikate für diese Leute oder diese Prinzipien ausgestellt worden sein könnten.

    Und wir widerrufen sie. Die meisten Leute haben also einfach nicht das Wissen oder die Mittel, um damit umzugehen. Die meisten Leute haben einfach nicht das Wissen oder die Hilfsmittel, um damit vom Standpunkt der Verteidigung oder sofortigen Reaktion aus umzugehen. Wir skizzieren also in dem Papier, was wir dafür tun können. Aber wir hoffen, dass wir das Thema speziell von der defensiven Seite her beleuchten können, damit die Leute besser auf die Dinge reagieren können. Ich weiß nicht, ob es etwas zu …

    Lee Christensen: Ein gutes Beispiel dafür ist das Fehlen einer Reaktion auf Vorfälle und einer Art von Erkennung, einer Anleitung. Bei unseren Untersuchungen haben wir herausgefunden, dass wir, wenn wir einen Rechner kompromittieren, ein Zertifikat von einem Benutzer stehlen können, das standardmäßig inaktiv ist.

    In den meisten Umgebungen sind diese Zertifikate bis zu zwei Jahre lang gültig. Und das ist für mich sehr wertvoll, denn selbst wenn der Rechner gelöscht oder das Passwort des Benutzers zurückgesetzt wird, kann ich mich mit dem Zertifikat als Benutzer anmelden – es ist eine völlig andere Form von Anmeldeinformationen als das Passwort.

    Und unserer Erfahrung nach tut das niemand. Es wird nachgeschaut, ob Angreifer schon einmal Zertifikate gestohlen haben. Und das war wirklich aufschlussreich für mich, weil ich dachte: “Wow”. Viele Angreifer könnten immer noch Zugang zu Netzwerken haben, wenn sie Zertifikate haben, und wir haben einige Mitglieder unseres Abwehrteams gefragt, ob Active Directory Certificate Services Teil des Incident-Response-Prozesses in den Unternehmen ist, mit denen Sie arbeiten.

    Und ich habe es noch nicht gesehen. Eine Umgebung, in der Active Directory-Zertifikatsdienste explizit genannt wurden. Das war also, wissen Sie, ein weiteres großes Ziel unserer Forschung ist es, Organisationen zu ermutigen, sich auf der defensiven Seite und der Seite der Reaktion auf Vorfälle mit Verzeichniszertifikatsdiensten zu beschäftigen.

    Ja.

    Lisa Vaas: Zwei Jahre sind eine Menge Zeit, um eine Menge Schaden anzurichten. Ja, nun, wir nähern uns der uns zustehenden Zeit. Aber ich weiß, dass Sie Ratschläge hatten, was die Sicherheitsgemeinschaft in dieser Angelegenheit tun sollte. Würden Sie das für uns erläutern?

    Lee Christensen: Also, ich meine, es gibt definitiv eine Menge Dinge, die die Leute tun können. I think. Es ist ein Mo es ist ein mehrgleisiger Ansatz. Zum einen denke ich, dass Microsoft und die Industrie im Allgemeinen besser darin werden müssen, die Administratoren besser auszustatten, damit sie die Auswirkungen ihres Handelns verstehen.

    Wenn sie also Dinge konfigurieren, wie z. B. ein IT-Administrator, der nur versucht, seine Arbeit zu erledigen, wie z. B. jemand, der einem Unternehmen beigetreten ist, der muss, Sie wissen schon, vielleicht zu einem Netzwerkstuhl oder zu einer Gruppe in Active Directory hinzugefügt werden. Aber wenn der IT-Administrator das tut, gewährt er diesem Benutzer möglicherweise unwissentlich Zugriff auf Hunderte von Computern im Netzwerk.

    Und das ist ihnen einfach nicht bewusst. Ich denke also, dass es einen Mangel an Transparenz gibt, der von Microsoft verbessert werden könnte, und das ist nicht nur spezifisch für Active Directory, sondern für viele Produkte oder Dinge in der Cloud, die Leute verstehen einfach nicht die Auswirkungen ihrer Handlungen.

    Und deshalb denke ich, dass viele Produkte besser sein müssen. Tighty-Administratoren zu erklären, wenn sie Aktionen durchführen, ist meiner Meinung nach eine große Sache, die Organisationen und Produktunternehmen tun sollten.

    Will Schroeder: Das ist etwas, das wir mit Bloodhound entwickelt haben, um das selbst zu ermöglichen.

    Wir haben eine ähnliche Version von BloodHound für Unternehmen, die wir sehr bald auf den Markt bringen werden. Diese ist auf die Verteidigung ausgerichtet und wird Informationen enthalten, weißt du, Andy. Es gibt keine spezielle Website, aber wir werden sie in den nächsten Wochen veröffentlichen. Aber es ist, wissen Sie, dieses ganze Angriffspfad-Management, die Komplexität des Systems als Ganzes zu verstehen, ist ein sehr schwieriges Problem, aber es ist etwas, in das wir viel Zeit und Mühe investieren, um Administratoren und Organisationen zu helfen, wirklich zu verstehen, ob es etwas hinzuzufügen gibt, Andy.

    Andy Robbins: Ich würde hinzufügen, so Lisa, du bist wie deine Frage, weißt du, was sollten Organisationen tun? Was Microsoft tut, was sollten andere Unternehmen wie wir tun? Ich denke, eines der Dinge, die wir alle tun müssen, ist, die Wahrheit anzuerkennen, dass Active Directory vor Ort bleiben wird. Und die Entscheidung, einfach von einer Identitätsplattform auf eine andere zu migrieren, oder der Traum, etwas wie Legacy ESA zu implementieren.

    Für die überwiegende Mehrheit der Unternehmen wird das nie geschehen. Es ist völlig unpraktisch. Es ist die Kosten und den Nutzen nicht wert, der Nutzen ist unermesslich und nicht die gute Art von unermesslich. Das heißt, sie sind nicht empirisch. Man kann nicht sagen, dass man von einer Identitätsplattform zur anderen wechselt und dass das alle Probleme lösen wird, die man jetzt hat.

    Wenn also der Zeitpunkt kommt, an dem jemand die Entscheidung treffen muss, ob er von On-Prem-AD auf etwas anderes umsteigen will, dann ist das eine gute Entscheidung. In 999 von tausend Fällen. Die Antwort ist nein. Und zwar aus diesen Gründen und aus den von Ihnen erwähnten Gründen wie. Angriffspfadverwaltung und diese kleinen Konfigurationen haben viel größere Auswirkungen.

    Eines der Probleme mit vielen Empfehlungen, die wir Organisationen geben, besteht darin, dass sie unter dem Deckmantel der besten Praxis formuliert werden. Oftmals sind die besten Praktiken in der Praxis unpraktisch. Aber die größere Sache ist, wie bereits erwähnt, dass viele der Leute, die Active Directory betreiben, in erster Linie die Aufgabe haben, das Licht am Laufen zu halten und die kritischen Geschäftsprozesse am Laufen zu halten, und die Sicherheit dient dem Geschäft, nicht umgekehrt.

    Wenn also eine Empfehlung kommt, die besagt, Sie sollten. Verwenden Sie diese Gruppenrichtlinie, um diese bestimmte Sicherheitskontrolle zu erzwingen. Und dann wird der Kunde ganz zu Recht fragen, warum. Und oft lautet die Antwort: “Das ist die beste Praxis, oder es wird Ihre Angriffsfläche reduzieren.” Diese Art von Empfehlung ist so leicht abzulehnen.

    Denn es gibt keine empirischen Beweise dafür, warum das tatsächlich helfen wird. Produkt- und Dienstleistungsunternehmen müssen also besser darin werden, die Vorteile der Implementierung von Sicherheitskontrollen zu erklären, die mit Kosten verbunden sind, sei es finanziell oder arbeitsmäßig, so dass, wenn eine Empfehlung kommt, die besagt, dass Sie X tun sollten.

    Und das sollten Sie tun, weil es Ihre Gefährdung durch Angriffswege um 75,2 % verringern wird. Es ist viel schwieriger, nein zu sagen, es ist viel einfacher, ja zu sagen, viel einfacher für interne AD-Leute, die sich diese Abhilfemaßnahmen gegenseitig verkaufen, oder für ein Sicherheitsteam, das diese Abhilfemaßnahmen an ein ADA-Team verkauft.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com