Abo aktiv

Ebenso unbekannt: das LAPS-Tool

Immerhin schaffte Microsoft es im April dieses Jahres, das LAPS-Tool direkt in Windows 10 und 11 zu integrieren. Aber auch hier gilt: Wer es nicht kennt, wird es nicht finden, denn auch dieses Tool hat keinen Installationsassistenten, sondern muss per Powershell (g+)installiert werden.

Administriert wird es anschließend über Gruppenrichtlinien, aber damit man es nicht so schnell findet, hat Microsoft die Einstellungen in den administrativen Vorlagen aus dem Hauptschlüssel, wo es immerhin gut sichtbar war, in die Unterkategorie System verschoben – wo es mit Sicherheit niemand mehr zufällig entdeckt.

Das LAPS-Tool ist ein Hauptbestandteil der Strategie des Tiering. Tiering soll verhindern, dass ein Angreifer allzu schnell von einem übernommenen Client aus alle anderen Rechner des Netzwerks übernehmen kann. Dafür verwendet er ein Tool namens Mimikatz, das in der Lage ist, die Kennwörter aller (!) angemeldeten Benutzer anzuzeigen.

Sobald Mimikatz auf den übernommenen Rechner heruntergeladen wurde, wird versucht, einen Benutzer mit privilegierten Netzwerk-Rechten auf den Client zu locken – zum Beispiel den Kollegen vom Help-Desk, der in einer AD-Gruppe ist, die ihm auf allen Clients Admin-Rechte verschafft.

Eine Anmeldung reicht, und schon kann der Angreifer Mimikatz auf alle Clients des Unternehmens verteilen. Dann ist es nur noch eine Frage der Zeit, bis sich an einem der Clients ein Benutzer anmeldet, der Mitglied der Domänen-Admins ist – und schon hat der Angreifer administrativen Zugriff auf das gesamte Netzwerk. Im Übrigen auch auf die Back-ups, wenn die auch in der Domäne betrieben werden. Uuups! Mit dieser Methode wurden bereits unzählige Netzwerke gehackt und verschlüsselt.

Ein Helpdesk-Mitarbeiter meldet sich mit privilegierten Rechten an einem übernommenen Rechner an... [1/2]

... mit dem Helpdesk-Konto verteilt sich die Malware im Netz und übernimmt die Domäne, nachdem Ihr ein Admin in Netz gegangen ist. (Bild: Holger Voges) [2/2]

Beim Tiering-Ansatz haben Benutzer keine privilegierten Konten, mit denen sie sich überall anmelden können. Der Help-Desk meldet sich zum Beispiel bei den Clients immer mit dem lokalen Administrator an. Und um es dem Angreifer nicht zu einfach zu machen – wenn alle lokalen Admins das gleiche Kennwort benutzen, braucht der Hacker nicht einmal Mimikatz, um alle Clients zu verseuchen –, benötigt jeder Client ein individuelles Admin-Kennwort.

Das Kennwort wird auf dem Client alle 30 Tage neu generiert und dann im AD im Computerkonto gespeichert. Von hier kann der Help-Desk die Kennwörter jeweils auslesen und sich als lokaler Admin anmelden. Mimikatz kann jetzt nur das Kennwort des lokalen Administrators erbeuten, aber Administrator-Rechte hat der Angreifer ohnehin schon, da er sonst Mimikatz nicht einsetzen kann. Der Tiering-Ansatz umfasst noch weitere Maßnahmen, aber die beschreibe ich in einem gesonderten Artikel ausführlich.

Die Bereitstellung des LAPS-Tools ist vielleicht die wichtigste Maßnahme, um Angreifer auszubremsen. Sie verhindert nicht, dass ein Angreifer sich weiter im Netzwerk ausbreitet, aber sie verhindert, dass er das innerhalb einer Stunde schafft.