Viele Organisationen unterschätzen, dass MFA in Windows-Umgebungen oft nur unzureichend implementiert ist. Angreifer umgehen Cloud-basierte MFA-Richtlinien durch traditionelle Active-Directory-Authentifizierung und kompromittieren so täglich Netzwerke mit gestohlenen Zugangsdaten.
Unternehmen führen Mehrfaktor-Authentifizierung (MFA) ein und gehen davon aus, dass gestohlene Passwörter allein nicht mehr ausreichen, um in ihre Systeme zu gelangen. Diese Annahme ist in Windows-Umgebungen häufig trügerisch. Die Realität zeigt: Angreifer kompromittieren täglich Netzwerke mit legitimen Anmeldedaten – nicht wegen mangelhafter MFA, sondern wegen unzureichender Abdeckung.
MFA funktioniert hervorragend, wenn sie über einen Identity Provider wie Microsoft Entra ID, Okta oder Google Workspace für Cloud-Anwendungen und föderierte Anmeldungen erzwungen wird. Doch viele Windows-Anmeldungen verlassen sich ausschließlich auf Active-Directory-Authentifizierungspfade, die niemals MFA-Anforderungen auslösen. Um Sicherheitsrisiken durch Credential-basierte Angriffe zu mindern, müssen Security-Teams verstehen, wo Windows-Authentifizierung außerhalb ihres Identity-Stacks stattfindet.
Wenn sich ein Benutzer direkt bei einer Windows-Workstation oder einem Server anmeldet, wird die Authentifizierung typischerweise durch Active Directory (via Kerberos oder NTLM) gehandhabt – nicht durch einen Cloud-IdP. In Hybrid-Umgebungen werden direkte Windows-Anmeldungen an domänenbeigetretenen Systemen von lokalen Domain Controllern validiert, auch wenn Entra ID MFA für Cloud-Apps erzwingt. Ohne Windows Hello for Business, Smart Cards oder andere integrierte MFA-Mechanismen erfolgt keine zusätzliche Sicherheitsüberprüfung.
Hat ein Angreifer das Passwort oder den NTLM-Hash eines Benutzers erbeutet, kann er sich an einer domänenbeigetretenen Maschine authentifizieren, ohne die MFA-Richtlinien auszulösen, die SaaS-Apps oder föderiertes Single Sign-On schützen. Für den Domain Controller ist dies ein Standard-Authentifizierungsrequest.
Remote Desktop Protocol (RDP) gehört zu den am häufigsten angegriffenen Zugriffsmethoden in Windows-Umgebungen. Selbst wenn RDP nicht ins Internet exponiert ist, erreichen Angreifer es durch Lateral Movement nach der ersten Kompromittierung. Eine direkte RDP-Sitzung zum Server wird nicht automatisch durch Cloud-basierte MFA-Kontrollen geleitet – die Anmeldung stützt sich allein auf das zugrunde liegende AD-Credential ab.
NTLM ist ein veraltetes Authentifizierungsprotokoll, das trotz Deprecation zugunsten des sichereren Kerberos aus Kompatibilitätsgründen noch immer existiert. Es ist ein häufiger Angriffsvektor, da es Techniken wie Pass-the-Hash unterstützt. Dabei benötigt der Angreifer nicht das Klartext-Passwort – er nutzt den NTLM-Hash zur Authentifizierung. MFA bringt keinen Schutz, wenn das System den Hash als Identitätsnachweis akzeptiert.
Kerberos ist das primäre Authentifizierungsprotokoll für Active Directory. Angreifer stehlen Kerberos-Tickets aus dem Speicher oder generieren gefälschte Tickets nach der Kompromittierung von privilegierten Konten. Dies ermöglicht Langzeitzugriff, Lateral Movement und reduziert die Notwendigkeit wiederholter Anmeldungen – was die Erkennungschancen senkt. Solche Angriffe können auch nach Passwort-Resets fortbestehen, wenn die zugrunde liegende Kompromittierung nicht vollständig behoben wird.
Organisationen setzen immer noch auf lokale Administrator-Konten für Support-Aufgaben und Systemwiederherstellung. Werden diese Passwörter über Endpoints hinweg wiederverwendet, können Angreifer eine Kompromittierung in umfassenden Zugriff umwandeln. Lokale Admin-Konten authentifizieren sich direkt beim Endpoint und umgehen MFA-Kontrollen vollständig.
SMB wird für Dateifreigaben und Remotezugriff auf Windows-Ressourcen genutzt – und ist einer der zuverlässigsten Lateral-Movement-Pfade, sobald ein Angreifer legitime Anmeldedaten hat. Häufig wird SMB-Authentifizierung als interner Datenverkehr behandelt, sodass MFA auf dieser Ebene selten erzwungen wird.
Service-Accounts führen geplante Aufgaben, Anwendungen und System-Services aus. Sie haben oft stabile Anmeldedaten, breite Berechtigungen und lange Lebenszyklen. In vielen Organisationen verfallen Service-Account-Passwörter nie und werden kaum überwacht – besonders problematisch, da diese Konten oft von Legacy-Anwendungen genutzt werden, die moderne Authentifizierung nicht unterstützen.
Um diese Risiken zu mindern, sollten Security-Teams Windows-Authentifizierung als eigene Sicherheitsoberfläche behandeln. Eine starke Passwortrichtlinie sollte Passphrasen von mindestens 15 Zeichen erzwingen – diese sind benutzerfreundlicher und schwerer zu knacken. Zusätzlich sollten kompromittierte Passwörter blockiert werden. Organisationen sollten gezielt NTLM reduzieren und wo möglich eliminieren. Service-Accounts müssen als hochrisikoreich behandelt werden – Inventur, Berechtigungskürzung und regelmäßige Rotation sind essentiell. Lösungen, die Active-Directory-Passwörter kontinuierlich gegen eine Datenbank von über 5,4 Milliarden durchgesickerten Anmeldedaten abgleichen, sind entscheidend, um Credential-basierte Angriffe wirksam abzuwehren.
Quelle: The Hacker News