Mobile-Menu

Kostenloses Analysetool Active-Directory-Sicherheit zum Nulltarif

Autor / Redakteur: Bernhard Lück / Dipl.-Ing. (FH) Andreas Donner

Unternehmen können mit „Purple Knight“ ihre AD-Umgebung untersuchen. Das kostenlose Sicherheitsanalysetool von Semperis könne Fehlkonfigurationen und Schwachstellen aufdecken, über die Angreifer in der Lage seien, Daten zu stehlen und Malware-Kampagnen zu starten.

Purple Knight zeigt Sicherheitslücken in Microsoft Active Directory auf.
Purple Knight zeigt Sicherheitslücken in Microsoft Active Directory auf.
(Bild: Semperis)

Mit dem von Microsoft-Identitätsexperten entwickelten und verwalteten Purple Knight können Unternehmen die Flut von eskalierenden Angriffen gegen AD bekämpfen, so Semperis. Das Tool spüre Indikatoren für die Verwundbarkeit und Kompromittierung der Umgebung auf und gebe Hinweise zum Schließen von Lücken.

Active Directory sei als zentrale Instanz in 90 Prozent aller Unternehmen weltweit für den Zugriff auf kritische Anwendungen und Daten ein bevorzugtes Ziel für Angreifer und extrem komplex zu sichern. Stealth-Angriffe würden zunehmend die im Windows-Betriebssystem – und im AD selbst – eingebauten Protokolle ausnutzen, um nicht entdeckt zu werden.

Die Angreifer, die mit der SolarWinds-Attacke in Verbindung gebracht werden, haben offensichtlich systemeigene Windows-Tools wie Windows Management Instrumentation (WMI) verwendet, um die Zertifikatsignaturfunktion von AD Federation Services auszulesen. Da AD nur selten vollständig wirksam gegen Angriffe abgesichert sei, nutzten Angreifer zunehmend unzureichende Konfigurationen, um Angriffswege zu identifizieren, auf privilegierte Anmeldeinformationen zuzugreifen und in Zielnetzwerke einzudringen.

„Wenn man bedenkt, dass 80 Prozent oder mehr der Cyberangriffe den Missbrauch von privilegierten Anmeldeinformationen beinhalten, haben inhärente Active-Directory-Schwachstellen das Potenzial, die gesamte Sicherheitsinfrastruktur eines Unternehmens zu kompromittieren. Das setzt AD-Manager und Sicherheitsteams unter Druck, den Bedrohungen einen Schritt voraus zu sein“, so Mickey Bresman, CEO von Semperis.

„Die Sicherung von AD gestaltet sich jedoch angesichts der stetigen Veränderungen und der relativ begrenzten Anzahl von AD-Spezialisten schwierig. Um AD abzusichern, muss man wie ein Angreifer denken. Mit der Veröffentlichung von Purple Knight gibt Semperis Unternehmen einen Einblick in die Security-Situation ihres AD, mit dem ultimativen Ziel, diese in die Lage zu versetzen, ihre Schutzmaßnahmen zu hinterfragen, Schwachstellen zu finden und Sofortmaßnahmen zu ergreifen, bevor diese Schwachstellen ausgenutzt werden.“

Um Sicherheitslücken wie mangelhafte Konfigurationen und Policies zu erkennen, fragt Purple Knight die AD-Umgebung ab und führt eine Reihe von nichtinvasiven Tests gegen die häufigsten und erfolgreichsten Angriffsvektoren durch, die mit bekannten Security-Frameworks wie dem MITRE ATT&CK korrelieren. Purple Knight benötige hierzu weder eine spezielle Installation noch besondere Berechtigungen. Das Tool zeige anhand von fünf zentralen Sicherheitsaspekten des AD (Delegation, Account-Sicherheit, AD-Infrastruktur, Group-Policy- und Kerberos-Sicherheit) Security-Indikatoren für den Zeitbereich vor, während und nach einem Angriff an. Nach Abschluss der Analyse werde ein Bericht generiert. Dieser enthalte eine Gesamtrisikobewertung, die ermittelten Indikatoren für die Angreifbarkeit und die Wahrscheinlichkeit einer Kompromittierung sowie eine Empfehlung konkreter Maßnahmen gegen Schwachstellen.

Erste Ergebnisse zeigen deutliche Schwächen auf

Nach Angaben von Semperis wird Purple Knight gegenwärtig weltweit von einigen der größten Organisationen mit den komplexesten Umgebungen genutzt. Die ersten Ergebnisse des Tools würden zeigen, dass Unternehmen einen durchschnittlichen Security-Score von nur 61 Prozent aufweisen, wobei die Kerberos-Sicherheit mit einer durchschnittlichen Quote von 43 Prozent den größten Risikobereich darstelle.

Weitere Kategorien der ersten Ergebnisse: 58 Prozent für die Group-Policy-Security, 59 Prozent für die Accountsicherheit, 68 Prozent für die AD-Delegation und 77 Prozent für die AD-Infrastructure-Security. Die Ergebnisse dieser ersten Berichte hätten jedoch auch gezeigt, dass insbesondere die größten Unternehmen, die oft über die meisten Ressourcen verfügen, aufgrund der schieren Größe und Komplexität ihrer Umgebungen besonders anfällig dafür seien, bei der Sicherung ihrer kritischen Identity-Systeme ins Hintertreffen zu geraten.

Einige typische Szenarien, die durch Purple Knight aufgedeckt wurden und zu AD-Schwachstellen führen, seien:

  • Passwortrichtlinien, die für einen zeitgemäßen Schutz von Konten unzureichend sind,
  • Konten mit erhöhten Rechten, die nicht ausreichend revidiert wurden,
  • über die Zeit entstandene Konten mit delegierten Rechten über Active Directory, die unerwünschte Auswirkungen auf die AD-Sicherheit haben,
  • Unzulänglichkeiten bei der Kerberos-Nutzung, die zunehmend ausgenutzt werden, um privilegierten Zugriff zu erhalten,
  • Schwachstellen in der Konfiguration von Group-Policies, die massive und ausnutzbare Lücken schaffen.

„Purple Knight adressiert einen Bedarf, der nach dem Hafnium-Angriff auf Exchange-Server noch deutlicher geworden ist und Microsoft dazu veranlasst hat, Kunden zu raten, dringend ihre Systeme auf IOEs und IOCs zu scannen“, erläutert Darren Mar-Elia, Semperis VP of Products. „Jede große Organisation, in der Active Directory seit Langem im Einsatz ist, wird Schwachstellen in ihrer Sicherheitslage haben, was bedeutet, dass es für Angreifer ein Leichtes wäre, diese nach einem ersten Eindringen zu nutzen. Große, komplexe Organisationen neigen dazu, ein Spinnennetz von Berechtigungen zu haben, die sich im Laufe der Zeit angesammelt haben – und keine Ahnung, ob diese Situation ausgenutzt werden kann. Man stopft die Löcher und hofft auf das Beste.“

Über Partner bereitgestellt

Purple Knight werde zunächst über ein Netzwerk autorisierter Partner bereitgestellt. Diese hätten das Tool bereits ausgiebig getestet und seien in der Lage, Unternehmen dabei zu helfen, die Auswirkungen ihrer spezifischen Analyse zu verstehen. Unternehmen, die es vorziehen, nicht mit einem Partner zusammenzuarbeiten oder die derzeit nicht mit einem zugelassenen Partner arbeiten, können sich an Semperis wenden.

(ID:47306116)