Nach einem Passwortreset entstehen laut Specops drei mögliche Zustände. Hat sich die Anwenderin oder der Anwender bereits mit dem neuen Passwort und verbundener Domäne angemeldet, aktualisiert sich der zwischengespeicherte Anmeldespeicher und der alte Hash wird ungültig. Erfolgte seit dem Reset keine Anmeldung an einer bestimmten Maschine, kann der alte zwischengespeicherte Datensatz für manche Authentifizierungsversuche weiter funktionieren. In hybriden Umgebungen lässt sich das alte Passwort während des Synchronisationsintervalls womöglich noch gegenüber Entra ID nutzen, solange der neue Hash dort nicht angekommen ist.
Angreifer nutzen zwischengespeicherte Hashes mit Methoden wie Pass-the-Hash, bei denen statt des Klartextpassworts der Hash selbst verwendet wird. Wurde dieser Hash vor dem Reset abgegriffen, macht ein Passwortwechsel ihn nicht überall sofort ungültig.
Ein weiteres Problem liegt in der Funktionsweise von Kerberos: Die AD-Authentifizierung läuft überwiegend über Tickets, die eine festgelegte Zeit gültig bleiben. Wer – legitim oder als Angreifer – bereits ein gültiges Ticket besitzt, kann ohne erneute Passworteingabe weiter auf Ressourcen zugreifen. Eine aktive Sitzung bleibt damit auch nach der Passwortänderung authentifiziert. Solange Sitzungen nicht ausdrücklich beendet werden – durch Abmeldung, Neustart oder Löschen der Tickets –, kann der Zugriff weit über den Reset hinaus fortbestehen.
Besonders heikel sind Dienstkonten: Sie haben oft langlebige Passwörter und erhöhte Rechte an kritischen Systemen. Angreifer können ihre Zugangsdaten etwa über Kerberoasting offenlegen oder bei der seitlichen Bewegung im Netzwerk entdecken. Weil solche Konten an laufende Dienste gebunden sind, werden sie aus Sorge vor Ausfällen seltener schnell zurückgesetzt – und bleiben so ein verlässlicher Rückfallweg.
Noch grundlegender wirken gefälschte Tickets. Bei einem Golden-Ticket-Angriff, ermöglicht durch die Kompromittierung des KRBTGT-Kontos, lassen sich gültige Ticket-Granting-Tickets für jeden Domänenbenutzer erzeugen. Silver Tickets zielen gezielter auf einzelne Dienste, ohne einen Domänencontroller zu kontaktieren. Beide umgehen Passwortänderungen vollständig; das Zurücksetzen von Benutzerpasswörtern entwertet gefälschte Tickets nicht.
Hinzu kommen Manipulationen an Berechtigungen. AD wird stark über Access Control Lists (ACLs) gesteuert. Verschafft ein Angreifer einem kontrollierten Konto etwa das Recht, Passwörter anderer zurückzusetzen, entsteht eine Hintertür, die ein geändertes Passwort nicht schließt. Konten unter dem Schutz von AdminSDHolder – etwa Domänenadministratoren – erben Berechtigungen aus einer Vorlage; wer deren ACL verändert, kann sich durch SDProp stündlich erneut Rechte zuweisen lassen.
Das Zeitfenster zwischen Reset und Synchronisation über AD und Entra ID beträgt laut Specops meist nur wenige Minuten und lässt sich durch häufigere Synchronisation – etwa per AD Change Notification oder manuell angestoßenem Sync – weiter verkürzen. Bis ein Vorfall entdeckt wird, können Angreifer dennoch zusätzliche Zugänge aufgebaut haben.
Wer Zugriff vollständig kappen will, muss laut Specops zunächst alles Aktive entwerten: Sitzungen beenden, Kerberos-Tickets durch erzwungene Abmeldungen oder Neustarts löschen und bei schwereren Kompromittierungen das KRBTGT-Konto zweimal zurücksetzen, um gefälschte Tickets ungültig zu machen. Hinzu kommen das Rotieren von Dienstkonten-Passwörtern, das Leeren zwischengespeicherter Anmeldedaten beim Wiederverbinden der Systeme sowie ein Audit der Verzeichnisänderungen, um verdeckte Zugangswege aufzuspüren.