GlobalSign Blog

Minderung von Schwachstellen in Microsoft Active Directory Certificate Services

Minderung von Schwachstellen in Microsoft Active Directory Certificate Services

Das Active Directory von Microsoft ist das Herzstück des Windows-Unternehmensnetzwerks. Dieses System sorgt für die Authentifizierung und Autorisierung der einzelnen Benutzer und Computer, die auf ein Netzwerksystem zugreifen möchten. Da es sich um einen so wichtigen Teil des Netzwerks handelt, gab es zahlreiche Berichte über die Sicherheit und mögliche Sicherheitslücken dieses Dienstes. 

Die Active Directory Certificate Services von Microsoft wurden jedoch nicht in gleichem Maße analysiert und untersucht, so dass sie mit möglicherweise schwerwiegenden Sicherheitslücken behaftet sind. Die Active Directory Certificate Services von Microsoft sind die PKI-Implementierung von Microsoft, die digitale Sicherheitsfunktionen für Unternehmen bereitstellt. 

In diesem Artikel werfen wir einen Blick darauf, wie Microsoft Active Directory-Zertifikatsdienste funktionieren. Anschließend werden wir die Sicherheitslücken und Schwachstellen dieser Dienste untersuchen. Und schließlich geht es darum, wie diese Risiken für die Cybersicherheit gemindert werden können. 

Wie funktionieren die Active Directory Certificate Services?

Active Directory Certificate Services (AD CS) bieten Dienste, mit denen die Benutzer ihre Public Key Infrastructure-Zertifikate anpassen können. Die Public Key Infrastructure (PKI) kann für eine Vielzahl von digitalen Sicherheitszwecken verwendet werden, darunter Verschlüsselung, digitale Signaturen, E-Mails, Benutzerauthentifizierung, elektronische Dokumente und Nachrichtenübermittlung. Die AD CS bieten Unternehmen die Dienste zur Erstellung und Verwaltung ihrer spezifischen PKI-Zertifikate. 

Die Active Directory Certificate Services unterstützen verschiedene Anwendungen. Zu diesen Anwendungen gehören unter anderem Internet Protocol Security (IPSec), Encrypting File Systems (EFS), Virtuelle Private Netzwerke(VPN), sichere drahtlose Netzwerke, Network Access Protection (NAP) und Smart-Card-Logins. 

Active Directory kann in CRM-Anwendungen und -Systeme (Customer Relationship Management) integriert werden, was es zu einer beliebten Wahl gerade für Händler macht. Kleine Unternehmen suchen oft nach einem CRM, das über wichtige Funktionen verfügt, darunter Ticketingsysteme, KI-gestützte Automatisierung, Verschlüsselung, Sicherheit und erweiterte App-Integration. Da Active Directory leicht integrierbar ist, stellt es eine beliebte Wahl für die Bereitstellung von Verzeichnis- und Sicherheitsstrukturen für CRM-Anwendungen dar. 

Die Installation von AD CS kann jedoch ein kostspieliges Unterfangen sein, denn sie erfordert nicht nur hohe Ausgaben für die Hardware selbst, sondern auch für die Installation, Bereitstellung und laufende Wartung durch ein Expertenteam. 

Die Active Directory Certificate Services funktionieren wie folgt. Erstens werden sie zur Gründung eines privaten Unternehmens-CA (Certificate Authority) verwendet. Dann werden mit Hilfe der CA Zertifikate erstellt, die eine bestimmte Konto-, Benutzer- oder Maschinenidentität mit einem bestimmten öffentlich-privaten Schlüsselpaar verknüpfen. Dieses Schlüsselpaar kann dann für verschiedene Funktionen und Operationen verwendet werden. Das kann unter anderem das Signieren von Dokumenten, das Verschlüsseln von Dateien und die Authentifizierung umfassen. 

Die Administratoren der AD CS-Server erstellen Vorlagen für diese Zertifikate. Die Vorlagen dienen künftigen Benutzern als Leitfaden für die Ausstellung von Zertifikaten: für wen sie ausgestellt werden sollen, welche Vorgänge sie zertifizieren können, wie lange diese Zertifizierungen gelten und welche Verschlüsselungseinstellungen sie enthalten sollen. 

Die AD CS-Systeme ähneln HTTPS insofern, als die Zertifizierungsstelle bestätigt, dass das Active Directory-System ein bestimmtes öffentlich-privates Schlüsselpaar akzeptieren darf. Ein authentifizierter Computer oder Benutzer muss ein Zertifikat von den AD CS erwerben, ein öffentlich-privates Schlüsselpaar erstellen und dieses zusammen mit allen Einstellungspräferenzen und Spezifikationen an die Zertifizierungsstelle senden. 

Alle diese Schritte sind Teil der Zertifikatsignaturanforderung (oder Certificate Signing Request (CSR)). Die Identität des authentifizierten Benutzers oder Computers, der die Anforderung übermittelt, wird als Domänenkonto aufgeführt. Die CSR enthält dieses Benutzeridentitäts-Domänenkonto, die spezifische Vorlage, die für das angeforderte Zertifikat verwendet wird, und eine Liste der Arten von Aktionen, für die das Zertifikat verwendet werden soll. 

Cybersicherheitsschwachstellen in Microsoft Active Directory Certificate Services

Ein kürzlich von Cybersicherheitsanalysten veröffentlichter Bericht hat gezeigt, dass Microsoft AD CS häufig Konfigurationsfehler enthalten, die schwerwiegende Folgen haben können. Die Häufigkeit von Konfigurationsfehlern führt dazu, dass AD CS-Server zu einem häufigen Ziel von Hackern werden, die Zugang zu privaten Konten und versteckten Domänen suchen. 

In den Active Directory Certificate Services können Cross-Site-Scripting-Angriffe (oder XSS-Angriffe) vorkommen, wenn Web Enrollment bestimmte Benutzereingaben nicht vollständig bereinigt, so dass diese Eingaben ohne ausreichende Tests in einer sicheren Datenbank gespeichert werden. Neben XSS- und Cross-Site-Scripting-Angriffen können diese nicht bereinigten Eingaben auch direkt SQL-Injection-Angriffe verursachen. Bei dieser Art von Cyberangriff kann ein bösartiger Akteur direkt in die Abfragen von Anwendungen an ihre Datenbanken eingreifen und so datengesteuerte Anwendungen instabil und unsicher machen. 

Jüngsten Studien zufolge bevorzugen 60 % der Kunden heute ihr Telefon, um mit kleinen Unternehmen zu kommunizieren. Wenn dieses Unternehmen einen AD CS mit einer Sicherheitslücke nutzt, kann der Empfang von Benutzereingaben über ein Kunden-Smartphone geknackt werden, um an die sensiblen Daten des Kunden zu gelangen. 

Wie schwerwiegend sind also die Sicherheitsrisiken?

AD CS werden zwar nicht automatisch auf jedem Active Directory-Server installiert, sind in Unternehmen und Industrieumgebungen aber weit verbreitet. Das bedeutet, dass es ein enormes Schadenspotenzial durch Sicherheitsverstöße gibt, die direkt auf falsch konfigurierte Zertifikatsdienste in den AD CS-Systemen zurückzuführen sind. 

Bei einem hartnäckigen Angriff im Jahr 2021 hat beispielsweise eine Hackergruppe mit einer als „FoggyWeb“ bekannten Technik anhaltende Angriffe auf kompromittierte Active Directory-Server durchgeführt. Sie nutzten diesen ständigen Zugang dann, um Daten zu stehlen, Code von den Servern zu erhalten und diese bösartigen Codes zu implementieren und so Schaden und Chaos anzurichten. 

Wie man die Schwachstellen der Active Directory Certificate Services mindert

Das Sicherheitsteam von Microsoft hat eine Reihe spezifischer Methoden veröffentlicht, um Schwachstellen der Active Directory Certificate Services innerhalb der Systemserver zu mindern. Microsoft empfiehlt, in erster Linie HTTP zu deaktivieren und auf allen Servern der Active Directory Certificate Services EPA zu aktivieren. Microsoft schlägt dann vor, Require SSL zu aktivieren und die NTLM-Authentifizierung zu deaktivieren, sofern dies möglich ist. Die Deaktivierung der NTLM-Authentifizierung auf dem Windows-Domänencontroller kann eine gute Schadensbegrenzung bewirken. 

Benutzer sollten auch Verbindungen blockieren, die durch das Verzeichniszertifikat erstellt werden und sich mit beliebigen Hosts und Diensten verbinden. Ein gut funktionierendes Verzeichniszertifikat verbindet sich nur mit zertifizierbaren Empfängern, wie z. B. anderen Verzeichniszertifikaten oder Hosts, die im Voraus für diese spezifische Kommunikation als wichtig autorisiert wurden. Alle ausgehenden Verbindungen müssen auf Hosts und Services der Ebene 0 beschränkt sein, wenn die Domäne Tiering nutzt. 

Neben der Verbesserung der Sicherheit auf den AD CS-Servern können Unternehmen auch verschiedene externe Sicherheitspatches implementieren, um die allgemeine Sicherheit zu erhöhen. Unternehmen können Auto Enrollment Gateway (AEG) verwenden, um an jedem Endpunkt im Netzwerk zusätzliche Sicherheitsebenen zu schaffen. AEG kann Sicherheitslücken schließen und zusätzliche Ebenen der Benutzer- und Computerauthentifizierung hinzufügen, um mögliche Versäumnisse bei der Cybersicherheit und Schwachstellen im AD CS-System auszugleichen. 

Fazit

Die Active Directory Certificate Services von Microsoft können zwar nützliche Funktionen wie Verschlüsselung, digitale Signaturen, Dateispeicherung, Nachrichtenübermittlung, E-Mail und Authentifizierung bieten, doch die Server wurden häufig unzureichend konfiguriert. Solche Fehlkonfigurationen stellen kritische Lücken in der Cybersicherheit dar, die von den Entwicklern behoben werden müssen. 

In der Zwischenzeit können die Benutzer die Auswirkungen dieser inhärenten Cybersicherheitsschwächen mindern, indem sie HTTP deaktivieren und EPA aktivieren sowie die Verbindungen von Verzeichniszertifikaten zu beliebigen Hosts blockieren. Darüber hinaus können Benutzer das Auto Enrollment Gateway nutzen, um zusätzliche Sicherheitsebenen zu schaffen, Sicherheitslücken zu schließen und eine stärkere End-to-End-Verschlüsselung und -Authentifizierung zu gewährleisten. 

Share this Post

Ähnliche Blogs