Tags: Active Directory, Sicherheit, Authentifizierung, Malware
Microsoft warnt davor, dass Angreifer mit einem auf GitHub allgemein zugänglichen Hacking-Tool bekannte Schwächen von Active Directory ausnutzen können. KrbRelayUp erlaubt ihnen bei einer erfolgreichen Attacke, administrative Rechte zu erlangen und beliebigen Code auf kompromittierten Geräten als SYSTEM auszuführen.
Bei KrbRelayUp handelt es sich um ein Tool, das andere schon länger existierende Hacking-Programme wie Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad oder Whisker gezielt für einen Angriff koordiniert (eine detaillierte Beschreibung eines KrbRelayUp-Angriffs bietet dieses Microsoft-Posting).
Ungenügende LDAP-Standardkonfiguration
Es macht sich die Tatsache zunutze, dass Microsofts Standardkonfiguration von Windows Server nach wie vor auf die Aktivierung von LDAP-Signierung und LDAP Channel Binding verzichtet und so Domänen-Controller (DCs) für diverse Man-in-the-Middle-Angriffe anfällig macht. Eine zentrale Maßnahme, um DCs gegen dagegen abzusichern, besteht in der Aktivierung dieser Features.
KrbRelayUp nutzt Resource-based constrained Delegation, um sich erhöhte Privilegien zu erschleichen. Dazu legt es im AD ein Computerkonto für ein nicht existierendes Gerät an und assoziiert dieses über das Attribut ms-DS-MachineAccountQuota mit einem kompromittierten Benutzer.
Anlegen von Computerkonten durch Standardbenutzer blockieren
Dieses AD-Attribut hat standardmäßig den Wert 10 und legt damit fest, wie viele mit ihm verknüpfte Computerkonten ein Benutzer erzeugen darf.
Microsoft empfiehlt, diesen Wert für nicht-administrative User auf den Wert 0 zu setzen und so ein Haupteinfallstor für KrbRelayUp zu schließen.
Auch hybride Konfigurationen bedroht
Betroffen von dieser Bedrohung sind nicht nur reine On-prem-ADs, sondern auch hybride Umgebungen, die das lokale AD mit Azure AD mittels AAD Connect synchronisieren. Ein Angreifer könnte dort über ein kompromittiertes Konto auch die Kontrolle über eine Azure-VM erhalten.
Neben der Empfehlung von präventiven Maßnahmen wie der Aktivierung von LDAP-Signierung und LDAP Channel Binding sowie dem Anpassen des Attributs ms-DS-MachineAccountQuota reagiert Microsoft auch mit der Abwehr von entsprechenden Angriffen über seine Security Tools.
Abwehr von Angriffen durch Defender-Tools
So entdeckt Defender for Identity nun verdächtige Aktivitäten im Netzwerk, die auf den Einsatz von KrbRelayUp schließen lassen.
Defender for Endpoint überwacht ebenfalls LDAP- und Kerberos-Anfragen an Domänen-Controller, um eventuelle Angriffe zu entdecken.
Das in Windows integrierte Microsoft Defender Antivirus erkennt KrbRelayUp als Hacking-Tool und blockiert dessen Ausführung.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Active Directory mit Microsoft Defender for Identity schützen
- Netlogon: Domänen-Controller verweigern Verbindung zu unsicheren Geräten
- Im Test: AD-Passwörter im Self Service zurücksetzen mit Specops uReset
- SpecOps Password Policy: Sichere Passwörter für das Active Directory
- Kennwörter und Passwortrichtlinien im AD überprüfen mit Specops Password Auditor
Weitere Links