Windows-Systeme sind in den meisten deutschen Unternehmen das Rückgrat der IT-Infrastruktur – vom Arbeitsplatz bis zum zentralen Verzeichnisdienst Active Directory. Diese Verbreitung macht Windows-Netzwerke zu einem bevorzugten Ziel für Angreifer. Wer die Schwachstellen des eigenen Netzwerks nicht kennt, überlässt die Entdeckung den Angreifern. An dieser Stelle setzen strukturierte Sicherheitsprüfungen ein, noch bevor ein Vorfall überhaupt in Erwägung gezogen wird.

Active Directory als zentraler Angriffspunkt

In praktisch jedem Windows-Netzwerk wird über Active Directory die Verwaltung sämtlicher Benutzerkonten, Berechtigungen und Gruppenrichtlinien einer Organisation geregelt.Deshalb wird dieser Verzeichnisdienst häufig zuerst von einer auf Pentesting Unternehmensgruppe untersucht, denn in vielen Fällen reicht bereits ein kompromittiertes, niedrig privilegiertes Konto aus, um die gesamte Domäne zu gefährden.

Mit beliebigen Techniken wie Kerberoasting fordern Angreifer Service-Tickets für Dienstkonten an und versuchen dann, die darin enthaltenen Passwort-Hashes offline zu entschlüsseln. Eine ebenfalls häufig zu beobachtende Methode zur Rechteausweitung in Active-Directory-Umgebungen sind Pass-the-Hash-Angriffe, bei denen Angreifer gestohlene NTLM-Hashes anstelle von Klartextpasswörtern verwenden. Eine weitere, schwer zu entdeckende Möglichkeit sind Golden-Ticket-Angriffe, bei denen Angreifer mit Hilfe des Hashes eines speziellen Kontos beliebige, für den Server gültige Kerberos-Tickets fälschen können und damit dauerhaft Zugriff auf die Domäne erlangen, ohne den Domain Controller noch einmal kontaktieren zu müssen. Wird ein solcher Pfad bei einem Test entdeckt, kann er sofort geschlossen werden, noch ehe ein echter Angreifer ihn zu finden vermag.

Typische Schwachstellen in Windows-basierten Unternehmensnetzwerken

Neben gezielten Angriffen auf Active Directory sind in der Praxis vor allem immer wiederkehrende Schwachstellen in Windows-basierten Unternehmensnetzwerken. Veraltete Patch-Stände auf Servern und Arbeitsplatzrechnern stellen eine der häufigsten Ursachen erfolgreicher Angriffe da. In Perimetersystemen werden bekannte Schwachstellen oft zu spät oder gar nicht geschlossen. Auch das alte NTLM-Protokoll mit seinen bekannten Schwächen wird aus Gründen der Rückwärtskompatibilität in vielen Netzwerken noch verwendet. Dies begünstigt das Abgreifen und Weiterleiten von Passwort-Hashes. Fehlkonfigurationen bei den Berechtigungen wie etwa zu weit gefasste Schreibrechte auf Benutzerkonten erlauben das gezielte Erzwingen von Service Principal Names und damit Kerberoasting-Varianten.

Diese Mischung aus technischen Altlasten und über Jahre gewachsenen, selten bereinigten Strukturen vergrößert die Angriffsfläche, ohne dass die Verantwortlichen es im Tagesgeschäft bemerken. In vielen Unternehmen fehlt schlicht die Übersicht darüber, welche Systeme welchen Patch-Stand besitzen und welche Dienste tatsächlich von außen erreichbar sind. Selbst grundlegende Maßnahmen wie ein vollständiges Schwachstellenmanagement werden erst nach einem konkreten Anlass nachgeholt.

Strukturiertes Prüfen als Antwort auf die immanent wachsenden Bedrohungen

Seriöse Anbieter orientieren sich bei der Suche nach Schwachstellen vor einem realen Angriff an bewährten Prüfstandards. In Deutschland bildet die Studie Durchführungskonzept für Penetrationstests des BSI die methodische Grundlage. Sie unterscheidet unter anderem zwischen Black-Box-Tests, bei denen die Prüfer nur über öffentlich zugängliche Informationen verfügen, und White-Box-Tests, bei denen sie vollständigen Zugriff auf interne Systemdaten haben. Für die Prüfung von Webanwendungen und Schnittstellen kommt ergänzend der OWASP Testing Guide zum Einsatz, der über hundert Einzelprüfkriterien in zwölf Kategorien wie Authentifizierung, Session-Management usw. beschreibt.

Unternehmen, die nach ISO 27001 oder dem IT-Grundschutz des BSI arbeiten, weisen die Wirksamkeit ihrer Schutzmaßnahmen häufig über solche Tests nach. Mit der EU-Richtlinie NIS2 wird für die betroffenen Unternehmen nun die regelmäßige Durchführung von Penetrationstests zur Vorschrift, nicht mehr nur zur freiwilligen Maßnahme. Am Ende eines solchen Tests steht gewöhnlich ein Bericht, der die gefundenen Schwachstellen nach ihrem Schweregrad einstuft und Empfehlungen zur Abstellung gibt. Damit können die Verantwortlichen Prioritäten setzen, statt alle Befunde gleichzeitig bearbeiten zu müssen.