Die zunehmende Bedrohung durch Cyberangriffe auf Geräte, Computersysteme und Netzwerkinfrastrukturen erfordert eine genaue Betrachtung verschiedener Angriffsvektoren. Ein besonders heimtückischer Ansatz sind Pass-the-Ticket-Angriffe (PtT), die die Sicherheit in Windows Active-Directory-Umgebungen gefährden. Dieser Artikel beleuchtet die Gefahren von PtT-Angriffen, die Schwachstellen des Kerberos-Netzwerkprotokolls und wirft einen Blick auf präventive Maßnahmen.

Pass-the-Ticket-Angriffe verstehen

Pass-the-Ticket-Angriffe ermöglichen es Angreifern, kompromittierte Authentifizierungsdaten in Form von Tickets zu nutzen. Das Kerberos-Netzwerkprotokoll, das in den gängigen Betriebssystemen integriert ist, wird dabei manipuliert. Dies erlaubt den Zugriff auf Benutzersitzungen ohne Kenntnis der Anmeldedaten. Diese Art von Angriff ist nicht nur schwer zu erkennen, sondern ermöglicht es Hackern auch, gängige Zugriffskontrollen zu umgehen.

Die Rolle des Kerberos-Netzwerkprotokolls

Das Kerberos-Netzwerkprotokoll, seit den 1980er Jahren etabliert, gewährleistet eine sichere Authentifizierung zwischen Terminals ohne Übertragung von Passwörtern. Trotz seiner Effektivität gegen Phishing und „Man-in-the-Middle“-Angriffe kann es durch PtT-Angriffe kompromittiert werden. Die Konsequenzen sind erheblich, da Angreifer möglicherweise Administratorrechte erlangen und uneingeschränkten Zugriff auf Ressourcen erhalten.

Ablauf eines PtT-Angriffs

Mit PtT-Angriffen erlangen Hacker privilegierten Netzwerkzugriff, ohne Benutzerkennwörter zu benötigen. Die Ausnutzung von Ticket Granting Tickets (TGT) ermöglicht den Zugriff auf Ressourcen in verschiedenen Netzwerksegmenten. Selbst bei fehlenden Administratorrechten birgt ein PtT-Angriff Risiken durch Lateral Movements, wodurch der Angreifer auf andere Konten und Geräte zugreifen kann.

Pass-the-Ticket-Angriffe identifizieren

Die Tarnung von PtT-Angriffen erschwert die Erkennung, aber verschiedene Techniken helfen dabei:

1. Überwachung von Ereignisprotokollen: Analyse von Domänen-Controller- und Endpunkt-Ereignisprotokollen zur Aufdeckung von Anomalien.
2. Verhaltensanalyse: Implementierung von Tools zur Erkennung ungewöhnlichen User-Verhaltens, wie untypische Anmeldezeiten oder Zugriffe auf unbekannte Ressourcen.
3. Netzwerksegmentierung: Beschränkung von Lateral Movements durch Netzwerksegmentierung erschwert Angreifern den Zugriff auf kritische Ressourcen.
   

Vorsichtsmaßnahmen gegen PtT-Angriffe

Um PtT-Angriffe zu verhindern oder ihre Auswirkungen zu minimieren, sollten Unternehmen folgende Maßnahmen ergreifen:

1. Strenge Zugriffskontrollen: Anwendung des Prinzips der geringsten Rechte (PoLP) und Vergabe nur notwendiger Zugriffsrechte.
2. Regelmäßige Passwortänderungen: Häufige Veränderungen von Dienstkontopasswörtern verringern das Risiko von TGT-Extraktionen.
3. Multi-Faktor-Authentifizierung (MFA): Aktivierung von MFA als zusätzliche Sicherheitsebene zur Erschwerung der Nutzung gestohlener Anmeldeinformationen.
4. Überwachung des Netzwerkverkehrs: Einsatz von Netzwerküberwachungstools zur Identifizierung verdächtigen Verhaltens und sofortigem Reagieren auf PtT-Angriffe.
   

Einsatz von UEBA und SIEM

Technologien wie User and Entity Behavior Analytics (UEBA) und Security Information and Event Management (SIEM) bieten effektiven Schutz. Diese nutzen Big-Data-Techniken und Künstliche Intelligenz zur Erkennung von PtT-Angriffen und ermöglichen eine schnelle Reaktion.