SchwachstellenHackerangriffeCyberkriminalität

Active-Directory-Breaches: Warum Passwortänderungen allein nicht ausreichen

Von CyberDeutsch Redaktion
Active-Directory-Breaches: Warum Passwortänderungen allein nicht ausreichen
Zusammenfassung

Ein Passwortmigrationsprozess bei Windows-Systemen mit veralteten Anmeldeinformationen: Passwörter zurückzusetzen gilt als Standardmaßnahme zur Schadensbekämpfung bei Sicherheitsverletzungen, doch diese verbreitete Praxis schließt nicht automatisch alle Zugangswege ab. In Active-Directory- und Hybrid-Entra-ID-Umgebungen bleiben alte Anmeldedaten auch nach dem Zurücksetzen über mehrere Authentifizierungspfade hinweg kurzfristig gültig. Sowohl lokale Passwort-Caches auf Windows-Rechnern als auch Synchronisationsverzögerungen zwischen Active Directory und Entra ID schaffen Zeitfenster, in denen Angreifer ihre Zugänge aufrechterhalten oder neu etablieren können. Besonders kritisch sind nicht-invalidierte Kerberos-Tickets, manipulierte Verzeichnisberechtigungen und Service-Account-Credentials, die Angreifer als Hintertüren missbrauchen. Die Lücke zwischen Passwortänderung und vollständiger Implementierung im gesamten System ist zwar kurz, aber für Cyberkriminelle ausreichend, um zusätzliche Persistenzmechanismen einzubauen. Für deutsche Unternehmen und öffentliche Verwaltungen bedeutet dies, dass reine Passwortresets bei Sicherheitsvorfällen unzureichend sind und umfassendere Maßnahmen wie Session-Invalidierung, Ticket-Purging und Berechtigungsprüfungen notwendig werden.

Die Problematik beginnt bereits auf technischer Ebene. Windows-Systeme speichern Passwort-Hashes lokal, um auch offline Anmeldungen zu ermöglichen. Wenn sich ein Gerät nach einem Passwortchange nicht sofort mit dem Domain-Controller verbindet, bleiben die alten Hash-Werte noch eine Zeit lang verwendbar. In hybriden Umgebungen verzögert sich die Synchronisierung der neuen Passwörter zu Entra ID zusätzlich um wenige Minuten – ausreichend Zeit für Angreifer, um sich Zugang zu sichern.

Noch kritischer ist die Rolle von Kerberos-Tickets. Diese werden bei erfolgreicher Authentifizierung ausgestellt und bleiben für einen bestimmten Zeitraum gültig – unabhängig davon, ob das Passwort zwischenzeitlich geändert wurde. Ein Angreifer mit einem aktiven Kerberos-Ticket kann somit weiterhin auf Ressourcen zugreifen, auch wenn das Opfer sein Passwort längst geändert hat. Selbst nach dem Reset bleibt die Session aktiv, solange das Ticket seine Gültigkeit nicht verloren hat.

Besonders gefährlich sind sogenannte Golden-Ticket- und Silver-Ticket-Attacken. Hier kompromittieren Angreifer das Kerberos Ticket Granting Ticket (KRBTGT) und können danach beliebige Tickets für jeden Domänen-User forgen – ohne dass eine Passwortänderung irgendetwas daran ändert.

Eine weitere Schwachstelle liegt in den Access Control Lists (ACLs). Sind diese manipuliert, etwa indem ein Angreifer sich selbst Passwort-Reset-Rechte gewährt, entsteht ein dauerhafter Hintertürenzugang. Besonders tückisch ist die AdminSDHolder-Manipulation: Angreifer, die dieses Objekt kompromittieren, lassen ihre Berechtigungen automatisch stündlich durch den SDProp-Prozess reaktivieren.

Service-Accounts mit hohen Privilegien stellen ein zusätzliches Risiko dar. Diese Konten werden oft nicht sofort nach einem Sicherheitsvorfall resettet, weil ein Passwortchange laufende Services zum Abstürz bringen könnte. Angreifer wissen dies und nutzen solche Accounts als zuverlässigen Fallback-Zugang.

Eine effektive Gegenmassnahme erfordert einen mehrstufigen Ansatz: Aktive Sessions müssen beendet, Kerberos-Tickets gelöscht und bei schwerwiegenden Vorfällen das KRBTGT-Konto zweimal zurückgesetzt werden. Service-Account-Passwörter sollten rotiert, gepufferte Anmeldedaten auf Endpoints gelöscht und die gesamte Directory-Struktur auf verdächtige Änderungen überprüft werden. Nur so wird ein Angreifer wirklich aus dem System entfernt.

Ähnliche Artikel