Die in Teil I dieser Beitragsreihe dargestellten Grundlagen der Zugriffskontrolle im Active Directory zeigen, wie fein abgestuft und zugleich schwer überschaubar Berechtigungen innerhalb des Systems organisiert sind. In der Praxis entsteht daraus eine Struktur, die nicht durch einzelne Fehlkonfigurationen angreifbar wird, sondern durch das Zusammenwirken gewachsener Rechtebeziehungen. Der folgende Abschnitt beleuchtet, wie diese Mechanismen gezielt genutzt werden können, um über die Manipulation von Access Control Lists (ACL) schrittweise erweiterte Berechtigungen zu erlangen und welche technischen Abläufe diesem Prozess zugrunde liegen.

Exkurs: Typische Phasen eines Cyberangriffs

Cyberangriffe folgen in der Regel einem strukturierten Ablauf, der sich in mehrere aufeinander aufbauenden Phasen gliedern lässt. Die Phasen eines solchen Angriffes wurden bereits in einem anderen Beitrag thematisiert. Nachfolgend wird der Angriffsteil der Privilege Escalation näher beleuchtet. Hierbei werden bestehende Rechte gezielt erweitert, um höhere Zugriffsebenen zu erreichen. Es werden Mittel und Wege aufgezeigt, wie durch gezielte Manipulation von Acccess Control Entries (ACE) eine Erweiterung auf privilegierte Rechte möglich ist.

Vom eingeschränkten Zugriff zur systematischen Eskalation

In Active-Directory-Umgebungen verläuft auch die Rechteausweitung in der Praxis meist als mehrstufige Entwicklung statt als klar abgegrenzter Angriffsschritt. Ausgangspunkt ist häufig ein bereits legitim wirkendes Konto, das schrittweise genutzt wird, um über verschiedene Zwischenstationen höhere Berechtigungen zu erreichen. Entscheidend ist dabei weniger ein einzelner Exploit als vielmehr die geschickte Kombination passender Objekte, Berechtigungen und Vererbungsmechanismen innerhalb der Umgebung. 

Gegeben dem Fall, Angreifende haben bereits Zugriff auf das System (Initial Access) erlangt und einen AD-Account kompromittiert [1], würde ein typisches Angriffsszenario nicht mit dem Ziel, sofort administrative Kontrolle zu erlangen beginnen, sondern mit der systematischen Analyse der effektiven Berechtigungen, die dem kompromittierten Benutzerkonto bereits zur Verfügung stehen. Ausgangspunkt ist dabei in der Regel kein privilegierter Zugriff, sondern ein reguläres Benutzerkonto.

Im Zentrum dieses Vorgehens steht nicht das Umgehen von Sicherheitsmechanismen, sondern deren konsequente Nutzung. Die Zugriffskontrollmechanismen des Active Directory sind so gestaltet, dass sie flexible Delegation ermöglichen. Genau diese Flexibilität eröffnet jedoch Angriffsflächen. ACL-basierte Rechte-Erweiterungen folgen dabei keinem zufälligen Muster, sondern basieren auf einem präzisen Verständnis der zugrunde liegenden Mechanismen. Sie sind weniger das Ergebnis einzelner Fehlkonfigurationen als vielmehr das Resultat kumulativer Effekte innerhalb gewachsener Berechtigungsstrukturen. Ein zentrales Merkmal solcher Angriffspfade ist ihre Ausnutzung legitimer Mechanismen des Systems. Anstatt Sicherheitsprüfungen zu umgehen, bewegen sich die Angreifer innerhalb des vorgesehenen Berechtigungsmodells. Dadurch entsprechen ihre Aktionen zwar den Protokollen des Systems, erschweren aber gleichzeitig die Erkennung und forensische Analyse.

Analyse effektiver Berechtigungen

Der erste Schritt in einem solchen Szenario besteht in der systematischen Analyse der vorhandenen Berechtigungen. Entscheidend sind hierbei nicht formale Rollen oder Gruppenmitgliedschaften, sondern die tatsächlich wirksamen Rechte eines Kontos. Diese ergeben sich aus der Kombination direkter Zugriffsrechte, verschachtelter Gruppenmitgliedschaften und vererbter Berechtigungen entlang der Verzeichnisstruktur.

Zur Durchführung dieser Analyse kommen in der Praxis spezialisierte Werkzeuge wie BloodHound in Verbindung mit SharpHound zum Einsatz. Sie erfassen umfangreiche Informationen über Objekte und deren Beziehungen und stellen diese in Form eines Graphen dar. Dadurch lassen sich auch komplexe Abhängigkeiten und mehrstufige Eskalationspfade identifizieren, die in klassischen Administrationswerkzeugen kaum sichtbar werden. Durch die Auswertung von Security Descriptors und den darin enthaltenen Access Control Entries [2] lassen sich gezielt solche Objekte identifizieren, auf denen bereits partielle Änderungsrechte höherer AD-Objekte bestehen.

Ein Benutzer, der über kein offensichtliches Administratorkonto verfügt, kann zum Beispiel dennoch über Rechte verfügen, die ihm kritische Aktionen erlauben. Insbesondere Rechte wie WRITE_DAC, WRITE_OWNER [3] oder objektspezifische Änderungsrechte auf Gruppenobjekte ermöglichen Eskalationen, ohne dass privilegierte Gruppenmitgliedschaften notwendig wären.

Diese Konstellationen entstehen häufig im Rahmen delegierter Administration und sind in komplexen Umgebungen nur schwer vollständig zu überblicken. Gerade diese schwer nachvollziehbaren Berechtigungskombinationen bilden die Grundlage für spätere Eskalationsschritte.

Gezielte Manipulation von Access Control Lists

Sobald ein geeignetes Zielobjekt identifiziert wurde, beispielsweise eine Gruppe, auf welche der kompromittierte Account bestimmte Änderungs- oder Schreib-Rechte besitzt, erfolgt die eigentliche Manipulation der Zugriffskontrolle. Diese besteht in der gezielten Erweiterung der Discretionary Access Control List (DACL) des Objektes durch das Hinzufügen eines neuen Access Control Entries. Dadurch erhält das angreifende Konto zusätzliche Rechte auf das Objekt, etwa zur weiteren Modifikation von Berechtigungen oder zur Veränderung sicherheitsrelevanter Attribute.

Technisch handelt es sich hierbei um eine reguläre administrative Operation. Die Änderung erfolgt über vorhandene Schnittstellen und entspricht vollständig dem vorgesehenen Berechtigungsmodell. Ihre Wirkung ist jedoch erheblich, da bereits eine einzelne, gezielt gesetzte Berechtigung ausreichen kann, um die Kontrolle über ein Objekt nachhaltig zu erweitern.

Konkret kann als technischer Einstiegspunkt das Recht WRITE_DAC auf ein Objekt genutzt werden. Dieses Recht erlaubt es, die DACL eines Objekts zu verändern. Damit erhält der Angreifer nicht unmittelbar administrative Kontrolle, wohl aber die Fähigkeit, die Regeln der Zugriffskontrolle selbst zu beeinflussen.

Alternativ kann der Angreifer auch GENERIC_WRITE oder GENERIC_ALL auf ein Zielobjekt erlangen. Diese Rechtekombinationen werden oft vergeben, um administrative Aufgaben zu vereinfachen, ohne ihre vollständige Wirkung zu reflektieren. In der Praxis können sie es erlauben, sensible Attribute zu verändern oder Berechtigungsstrukturen vollständig zu übernehmen.

Für die praktische Umsetzung dieser Änderungen werden häufig PowerShell-basierte Frameworks wie PowerView eingesetzt, die den Zugriff auf AD-Objekte und deren Sicherheitsdeskriptoren abstrahieren. Ergänzend können auch native Schnittstellen oder Bibliotheken genutzt werden, wie sie beispielsweise im Werkzeug Impacket implementiert sind, um Änderungen über Netzwerkprotokolle vorzunehmen.

Kaskadierende Rechteausweitung

Die initiale ACL-Manipulation stellt in der Regel nicht das Endziel dar, sondern den Ausgangspunkt einer weiterführenden Eskalation. Die neu gewonnenen Rechte werden genutzt, um zusätzliche Berechtigungen zu etablieren, die wiederum Zugriff auf sensiblere Objekte ermöglichen. Dieser Prozess erfolgt schrittweise und baut aufeinander auf.

Charakteristisch ist dabei, dass jede einzelne Aktion für sich genommen legitim erscheint. Erst in ihrer Gesamtheit entsteht ein Eskalationspfad, der bis hin zur vollständigen administrativen Kontrolle führen kann.

Vererbung als struktureller Verstärker

Ein wesentlicher Faktor für die Wirksamkeit solcher Angriffe ist die Vererbung von Berechtigungen. Rechte, die auf übergeordnete Strukturen wie Organisationseinheiten (Organisation Units, OU) gesetzt werden, können automatisch auf eine Vielzahl untergeordneter Objekte wirken. Dadurch lässt sich die Reichweite einer einzelnen Manipulation erheblich vergrößern.

Diese Mechanik führt dazu, dass Ursache und Wirkung räumlich voneinander getrennt sein können. Eine Änderung an zentraler Stelle entfaltet ihre Wirkung erst auf nachgelagerten Objekten, was sowohl die Erkennung als auch die Analyse deutlich erschwert. In komplexen Verzeichnisstrukturen können sich so Berechtigungszustände ergeben, deren Ursprung nur mit erheblichem Analyseaufwand nachvollzogen werden kann.

Missbrauch von Extended Rights

Ein besonders wirkungsvoller, aber weniger offensichtlicher Mechanismus ist der Missbrauch von Extended Rights. Diese Rechte sind technisch als spezielle ACEs umgesetzt, die über GUID [4]s referenziert werden. Sie erlauben Operationen, die nicht über einfache Lese- oder Schreibrechte abgebildet werden können.

Ein prominentes Beispiel sind Replikationsrechte. Wird einem Angreifer ein solches Extended Right gewährt, kann er unter Umständen Verzeichnisdaten replizieren und damit Zugriff auf hochsensible Informationen erhalten. Die technische Umsetzung dieser Rechte ist komplex und ihre Bedeutung in administrativen Oberflächen nicht immer eindeutig erkennbar.

Werkzeuge und technische Umsetzung

Die praktische Umsetzung solcher Szenarien wird durch spezialisierte Werkzeuge erheblich erleichtert. Sie ermöglichen es, komplexe Berechtigungsstrukturen zu analysieren, effektive Angriffswege zu berechnen und demnach gezielt Rechte zu verändern. Insbesondere die Visualisierung von Abhängigkeiten und Eskalationspfaden in Form von Graphen (siehe Abbildung 1) trägt dazu bei, auch in umfangreichen Umgebungen relevante Angriffspunkte zu identifizieren.

Durch die Abstraktion der zugrunde liegenden binären Strukturen wird die Manipulation von Access Control Lists in eine Form überführt, die operativ nutzbar ist. Die technische Hürde liegt daher weniger in der Durchführung einzelner Änderungen, sondern im Verständnis der zugrunde liegenden Berechtigungslogik und ihrer Wechselwirkungen.

Bloodhound

Abildung 1: Grafische Darstellung von Rechtestrukturen



Forensische Spuren und Grenzen der Protokollierung

Änderungen an Access Control Lists und sicherheitsrelevanten Objekten hinterlassen grundsätzlich Spuren in den Ereignisprotokollen der Domain Controller. Diese umfassen unter anderem Anpassungen von Berechtigungen, Änderungen an Gruppenmitgliedschaften sowie administrative Eingriffe in sicherheitskritische Strukturen.

In der Praxis zeigt sich jedoch, dass diese Informationen häufig nur eingeschränkt nutzbar sind. Viele relevante Ereignisse werden ohne gezielte Konfiguration der Audit-Richtlinien nicht erfasst. Gleichzeitig gehen einzelne Einträge im normalen Betriebsaufkommen unter und lassen sich nur schwer isoliert bewerten. Erst die Korrelation mehrerer Ereignisse über einen längeren Zeitraum hinweg ermöglicht es, Muster zu erkennen, die auf eine schrittweise Rechteeskalation hindeuten. In der Praxis ist die Nachvollziehbarkeit von Angriffen häufig stark eingeschränkt. Ein wesentlicher Grund dafür ist die oftmals zu gering konfigurierte Größe der Ereignisprotokolle, die zudem standardmäßig von Microsoft eher knapp bemessen ist. Dadurch kommt es schnell zu einer Rotation der Logdaten, sodass relevante Zeiträume bereits nach kurzer Zeit überschrieben werden und wichtige Spuren eines Angriffs verloren gehen. 

Einordnung: Struktur statt Schwachstelle

Das kombinierte Bild ergibt ein klares, aber technisch anspruchsvolles Angriffsmuster: Ein Angreifer gewinnt zunächst minimale Rechte, nutzt diese zur strategischen Analyse und selektiven Modifikation von Zugriffskontrollen, eskaliert über mehrere Stufen zu administrativen Rechten und hinterlässt dabei Artefakte in unterschiedlichen Datenquellen, die nur mit gezielter Analyse identifiziert werden können.

Gerade diese Verzahnung von systematischen Berechtigungsanalysen, ACL-Modifikationen, Vererbungsmechaniken und Audit-Ereignissen macht Privilege Escalation über ACL-Strukturen zu einem schwer fassbaren, aber für Incident Response und Forensik relevanten Phänomen.

Ausblick

Im nächsten Teil wird die forensische Perspektive weiter vertieft. Dabei steht die Frage im Mittelpunkt, ob und wie sich die beschriebenen Manipulationen konkret nachweisen lassen, welche Artefakte hierfür herangezogen werden können und wie sich aus fragmentierten Spuren die Rekonstruktion des Angriffsmusters wieder herstellen lassen.



[1] Ein kompromittierter Active-Directory-Account bezeichnet ein Benutzer-, Dienst- oder Computerkonto, dessen Zugangsdaten oder Sicherheitskontext durch einen Angreifer erlangt und unbefugt genutzt werden können, ohne dass hierfür eine legitime Berechtigung vorliegt.

[2] nähere Informationen hierzu können im ersten Teil dieser Beitragsreihe nachgelesen werden: Active Directory Berechtigungsstruktur als Angriffsvektor – eine forensische Einordnung Teil I - BDO – Abschnitt „Zugriffskontrolle als strukturelles Prinzip“

[3] Nähere Erklärungen zu diesen Rechten sind zu finden unter: Active Directory Berechtigungsstruktur als Angriffsvektor – eine forensische Einordnung Teil I - BDO - Abschnitt Berechtigungen als semantische Infrastruktur

[4] Eine GUID (Globally Unique Identifier) ist im Microsoft Umfeld, eine 128-Bit-Zahl, die als eindeutiger Identifikator eines Objektes dient.


Cyberangriff?


Für Soforthilfe im Falle eines Cyberangriffs, kontaktieren Sie unsere Spezialistinnen und Spezialisten.



Zu unserem Notfallservice

Dieser Artikel wurde verfasst von