KrbRelayUp: Domänen-Controller gegen Angriffe auf Resource-based constrained Delegation absichern


    Tags: , , ,

    LDAPMicrosoft warnt davor, dass Angreifer mit einem auf GitHub allgemein zugäng­lichen Hacking-Tool bekannte Schwächen von Active Directory aus­nutzen können. KrbRelayUp erlaubt ihnen bei einer erfolg­reichen Attacke, administrative Rechte zu erlangen und beliebigen Code auf kompromittierten Geräten als SYSTEM auszu­führen.

    Bei KrbRelayUp handelt es sich um ein Tool, das andere schon länger existierende Hacking-Pro­gramme wie Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad oder Whisker gezielt für einen Angriff koordiniert (eine detaillierte Beschreibung eines KrbRelayUp-Angriffs bietet dieses Microsoft-Posting).

    Ungenügende LDAP-Standardkonfiguration

    Es macht sich die Tatsache zunutze, dass Microsofts Standard­konfiguration von Windows Server nach wie vor auf die Aktivierung von LDAP-Signierung und LDAP Channel Binding verzichtet und so Domänen-Controller (DCs) für diverse Man-in-the-Middle-Angriffe anfällig macht. Eine zentrale Maßnahme, um DCs gegen dagegen abzusichern, besteht in der Aktivierung dieser Features.

    KrbRelayUp nutzt Resource-based constrained Delegation, um sich erhöhte Privilegien zu erschleichen. Dazu legt es im AD ein Computerkonto für ein nicht existierendes Gerät an und assoziiert dieses über das Attribut ms-DS-MachineAccountQuota mit einem kompromittierten Benutzer.

    Anlegen von Computerkonten durch Standardbenutzer blockieren

    Dieses AD-Attribut hat standardmäßig den Wert 10 und legt damit fest, wie viele mit ihm verknüpfte Computer­konten ein Benutzer erzeugen darf.

    Microsoft empfiehlt, diesen Wert für nicht-administrative User auf den Wert 0 zu setzen und so ein Haupteinfallstor für KrbRelayUp zu schließen.

    Auch hybride Konfigurationen bedroht

    Betroffen von dieser Bedrohung sind nicht nur reine On-prem-ADs, sondern auch hybride Umgebungen, die das lokale AD mit Azure AD mittels AAD Connect synchronisieren. Ein Angreifer könnte dort über ein kompromittiertes Konto auch die Kontrolle über eine Azure-VM erhalten.

    Neben der Empfehlung von präventiven Maßnahmen wie der Aktivierung von LDAP-Signierung und LDAP Channel Binding sowie dem Anpassen des Attributs ms-DS-MachineAccountQuota reagiert Microsoft auch mit der Abwehr von entsprechenden Angriffen über seine Security Tools.

    Abwehr von Angriffen durch Defender-Tools

    So entdeckt Defender for Identity nun verdächtige Aktivitäten im Netzwerk, die auf den Einsatz von KrbRelayUp schließen lassen.

    Benachrichtigung über einen verdächtigen Kerberos-Delegierungsversuch durch einen neuen Computer in Defender for Identity.

    Defender for Endpoint überwacht ebenfalls LDAP- und Kerberos-Anfragen an Domänen-Controller, um eventuelle Angriffe zu entdecken.

    Das in Windows integrierte Microsoft Defender Antivirus erkennt KrbRelayUp als Hacking-Tool und blockiert dessen Ausführung.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links