Active Directory Toolkit (ADT): Automatisierung von Angriffen gegen Microsoft Active Directory

Master-Studiengang Information Security

Dipl.-Ing. Christoph Falta, BSc

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage

Microsoft Active Directory ist eine der bekanntesten Directory-Lösungen für Unternehmen und findet weltweit Anwendung in unterschiedlichsten Industriesparten. Active Directory zählt dabei zu den Kernbestandteilen der IT Infrastruktur, da es sowohl die Verwaltung, die Authentifizierung als auch (implizit) die Autorisierung der BenutzerInnen sicherstellt.

Sind Computer an das Active Directory angebunden, so verwenden diese in der Folge die Benutzerdatenbank des Verzeichnisdienstes. Lokale Berechtigungen auf einzelne oder mehrere sogenannte „Member“-Systeme können mittels zentral verwalteter Gruppen delegiert werden und auch die Authentifizierung selbst basiert auf bestimmten, vom Directory zur Verfügung gestellten, Protokollen. Aufgrund dieser zentralen Rolle innerhalb der IT-Landschaft besitzt auch die Sicherheit des Active Directory einen gewichtigen Einfluss auf die Gesamtsicherheit von Systemen und Daten.

Gelingt es einem Angreifer/einer Angreiferin, Mitglied einer hoch privilegierten Active-Directory-Gruppe (beispielsweise „Domain Admins“) zu werden, so führt dies in der Regel zu umfassendem Zugriff auf alle Member-Systeme. Die Auswirkungen einer erfolgreichen Attacke zeigen sich am prominenten Beispiel des deutschen Bundestages, dessen IT-Systeme im Jahr 2015 Opfer eines gezielten Angriffes wurden. Aus den 2016 veröffentlichten Sitzungsprotokollen der IuK-Kommission geht hervor, dass „[…] insbesondere der zentrale Verzeichnisdienst übernommen worden sei. Somit habe der Angreifer prinzipiell Zugriff auf alle Zugangsdaten der Fraktionen, Abgeordneten und Bundestagsmitarbeiter, die von diesem Verzeichnisdienst erfasst seien.“

Ziel

Aufgrund der enormen Auswirkungen, die eine erfolgreiche Übernahme des Active Directory bedeuten kann, beschäftigt sich diese Arbeit mit der Identifizierung aktueller Angriffsvektoren sowie Möglichkeiten zur automatisierten Erkennung / Ausnützung dieser Angriffsvektoren im Rahmen von „Penetration Tests“.

Ergebnis

Im Zuge dieser Arbeit wurden aktuelle Angriffsszenarien gegen Active Directory erfasst und detailliert erläutert. Dies stellte die Grundlage zur Entwicklung eines Angriffswerkzeuges dar, welches zur automatisierten Durchführung von Attacken gegen Active Directory eingesetzt werden kann. Abschließend wurde die Praxistauglichkeit dieses Tools im Rahmen einer Feldstudie erfolgreich überprüft.