iX 10/2020
S. 58
Titel
Netzwerksicherheit

Informationsbeschaffung – was jeder Dom?nenbenutzer alles sieht

Nach oben gehangelt

Frank Ully

Oftmals erscheinen in Systemen hinterlegte Informationen zun?chst harmlos. Doch mit den richtigen Werkzeugen nebst der Fantasie des Sicherheitstesters oder im schlimmeren Fall der kriminellen Energie eines Angreifers bieten sie erste Ansatzpunkte, in ein Netzwerk einzudringen. Von da ist es nur ein kleiner Schritt, sich immer weitere Rechte zu verschaffen.

In diesem dritten Teil der mehrteiligen Reihe zur Sicherheit des Active Directory (AD) geht es darum, wie Angreifer durch gezielte Informationsbeschaffung – unangemeldet oder als normal privilegierter Dom?nenbenutzer – schnell h?here Rechte im AD erlangen k?nnen; all dies mit Funktionen und Tools, die leicht verfügbar sind oder von Windows mitgeliefert werden.

Wie im Artikel ?Himmelsgeschenk“ auf Seite 40 beschrieben, muss man nach dem ?Assume Breach“-Ansatz davon ausgehen, dass es Angreifern keine Schwierigkeiten bereitet, einen beliebigen Windows-Client in einem Unternehmen zu kompromittieren und von dort Befehle auszuführen [1]. Aber auch ein gekaperter Linux-Server, der über eine klassische Softwareschwachstelle geentert wurde, an ein Active Directory angebunden ist und entgegen allen Good Practices nicht ausreichend vom internen Netzwerk abgeschirmt in einer demilitarisierten Zone (DMZ) steht, ist ein guter Ausgangspunkt.

Bin ich schon drin?

In der Regel wird ein fortgeschrittener Angreifer eine Command-and-Control-Infra-struktur aufbauen (siehe dazu Artikel ?Unentdeckte Hintertüren“ in iX 2/2019), mit der er bequem aus der Ferne Befehle auf den kompromittierten Systemen ausführt. Bei Bedarf kann er über Proxy-Mechanismen wie SOCKS auf seinem eigenen Rechner mit einem beliebigen Betriebssystem Standardwerkzeuge benutzen, -deren Netzwerkverkehr über die Command-and-Control-Infrastruktur und die damit kontrollierten gekaperten Systeme in die entfernte Organisation geleitet wird. Ihm steht also ein breites Arsenal an Werkzeugen zur Verfügung.

Die folgende Beschreibung geht davon aus, dass der Angreifer Kontrolle über ein Linux-System gewonnen hat, das sich mit einem Dom?nencontroller (DC) im selben Netzwerk befindet. Der Linux-Rechner muss nicht unmittelbar an die Dom?ne angebunden sein. Eine alternative M?glichkeit, einen derartigen Zugriff zu erhalten, hat ein Angreifer beispielsweise, wenn er physisch in die angegriffene Organisation eindringt und einen Minirechner wie einen Raspberry Pi mit einer Pentesting-Distribution wie Kali Linux an eine ?ffentlich zug?ngliche Netzwerkbuchse steckt [3].

Alle im Folgenden von Linux ausgehenden Informationsabflüsse sind analog dazu von einem Windows-System aus m?glich, teilweise mit anderen Werk-zeugen.

Wo ist der Dom?nencontroller?

Damit ein Rechner nach dem Booten den Anschluss in einem Netzwerk findet, hilft das Dynamic Host Configuration Protocol (DHCP). Der DHCP-Server, h?ufig eine Funktion des Dom?nencontrollers, weist Clients und oft auch Servern dynamisch IP-Adressen zu und übermittelt weitere Netzkonfigurationen; unter anderem die IP-Adresse des DNS-Servers, der für die Namensaufl?sung verantwortlich ist.

Das bekannte Scantool Nmap ist das Werkzeug der Wahl für Portscans, kann aber viel mehr als nur das und verfügt sogar über eine erweiterbare Nmap Scripting Engine (NSE; die im Artikel angesprochenen Werkzeuge sind unter ix.de/zer8 zu finden). Es eignet sich, um eine entsprechende DHCP-Anfrage durchzuführen (Listing?1).

Einer der ersten Schritte eines Angreifers ist in der Regel ein Portscan der Zielsysteme. So erf?hrt er, welche Dienste auf dem Windows Server laufen. Ein einfacher Scan der h?ufigsten 1000 Ports auf einem Dom?nencontroller ergibt etwa ein Bild wie in Listing?2.

Das Lightweight Directory Access Protocol (LDAP) lauscht auf einer Reihe von Ports. Auch Kerberos auf TCP-Port 88 ist ein Hinweis darauf, dass dieses System ein Dom?nencontroller ist.

Es sind keine besonderen Privilegien erforderlich, um sich an LDAP zu binden?– jeder gültige Account kann grundlegende Daten über das Verzeichnis lesen. Gem?? LDAP-Spezifikation muss der Server auch ohne Authentifizierung einige Informa-tionen über den Einsprungspunkt RootDSE (siehe ix.de/zer8) bereitstellen.

Kommentare lesen (1 Beitrag)

汤姆叔叔影院