Timeroasting: Angriff auf Vertrauenskonten in Active Directory

Hochsichere Passwörter zwischen Windows-Computern in Unternehmensnetzwerken weisen eine unerwartete Schwachstelle auf. Passwörter, die als "unhackbar" gelten, lassen sich in einigen Fällen leicht knacken.

KERBEROASTING ODER PASSWORT-SPRAYING

Gängige AD-Angriffstechniken wie Kerberoasting oder Password-Spraying nutzen die Vorhersehbarkeit von Passwörtern aus, die von Personen für sich selbst oder für ein von ihnen verwaltetes Dienstkonto gewählt werden.

Bisher galten diese Arten von Angriffen als nutzlos gegen die Passwörter von vertrauenswürdigen Computern, da diese in der Regel sehr starke Passwörter haben.

FALSCHE ANNAHME

Diese Annahme hat sich als falsch erwiesen. In verschiedenen Situationen können Computer- oder Vertrauenskonten sehr vorhersehbare Passwörter haben. Wir haben dies in einer Reihe von organisatorischen Bereichen festgestellt.

Diese Tatsache hat allerlei interessante Auswirkungen und wir haben vier neue AD-Pen-Testing-Techniken, um diese Schwachstelle zu finden.

In Domänen, in denen schwache Computer- oder Vertrauenskonten vorhanden sind, können diese Techniken neue (unauffällige) Methoden für den Erstzugriff und zusätzliche Wege für seitliche Bewegungen und die Eskalation von Befugnissen in AD-Umgebungen bieten.

TIMEROASTING WHITEPAPER und CUSTOM TOOLING RELEASE

Lesen Sie das Whitepaper "Timeroasting, Trustroasting und Computer Spraying" für eine ausführliche Erläuterung dieser Sicherheitslücke in Unternehmensnetzwerken.

Wenn Sie diese Schwachstelle in Ihrem eigenen Netzwerk weiter erforschen möchten, haben wir vier neue AD-Pen-Test-Techniken entwickelt. Sie finden dieses Tooling im GitHub Repository hier.