Wie Sie Ihre Netzwerke und Daten vor Golden-Ticket-Angriffen schützen

Goldene Tickets geben kriminellen Dritten universellen Zugriff auf all Ihre Netzwerke und Daten. Erfahren Sie, wie Sie Ihre Systeme schützen können.

Apr 20, 2021 - 3 Min.
Picture of: Adrian Straub
Adrian Straub

Was wie ein tolles neues Rezept für einen Hollywood-Blockbuster klingt – eine Mischung aus kultigem Kinderbuch und einem spannenden Thriller – ist in Wirklichkeit eine der invasivsten und gefährlichsten Hacker-Attacken, die unsere Computersysteme bedrohen. Das goldene Ticket von Mimikatz hat das Potenzial, riesige und weitläufige Netzwerke mit sensiblen Informationen zu entschlüsseln – ein Kunststück, das für Angreifer von unschätzbarem Wert und für Verbraucher, Unternehmen und sogar die nationale Sicherheit äusserst bedrohlich ist.

Wie begehrt und allgegenwärtig ist diese Technologie? Als Mimikatz entwickelt wurde, versuchten russische Spione, den Quellcode heimlich aus dem Computer seines Schöpfers zu extrahieren. Als das nicht funktionierte, rissen sie ihn mit Gewalt an sich.[1] Heute, Jahre später, bildet Mimikatz die Grundlage für alle möglichen Arten von Sicherheitsverstössen. Und genau wie Willy Wonkas Goldenes Ticket gibt das Goldene Ticket von Mimikatz (das mit dem Mimikatz-Programm erstellt wurde) Hackern vollen und kompletten Zugriff auf Informationen, die normalerweise streng geschützt und vertraulich sind. Wie genau gefährden Goldene Tickets Ihre Daten und wie können Sie sich schützen?

Wie funktionieren Golden Tickets?

Mimikatz wurde vor einem Jahrzehnt von Benjamin Delpy entwickelt, einem Programmierer, der eine Schwachstelle im Speichersystem für Authentifizierungsdaten von Microsoft entdeckt hatte. Bei dem Versuch, Microsoft auf die Dringlichkeit seiner Entdeckung aufmerksam zu machen, erstellte Delpy Mimikatz, um Microsofts Single-Sign-On-Funktion zu infiltrieren und verschlüsselte Passwörter sowie deren Entschlüsselungsschlüssel zu extrahieren. Einmal erlangt, konnten diese Passwörter verwendet werden, um auf Konten zuzugreifen und mit anderen Computern im Netzwerk zu kommunizieren. Dies wiederum führte zur Verbreitung der Malware über ganze Netzwerke und mehrere infizierte Computer.

Mimikatz hat sich seitdem weiterentwickelt, und Hacker nutzen es weiterhin, um neue Angriffe zu initiieren. Auch wenn ein Golden-Ticket-Angriff einen anderen Ansatz verfolgt, ist das Endergebnis das gleiche: schwerwiegende Beeinträchtigungen von Netzwerken und massive Datenverluste. Und das Beunruhigendste ist, dass diese Angriffe leicht über Jahre hinweg unentdeckt bleiben können.

Zurück zu Willy Wonka: Goldene Tickets bieten vollen und ununterbrochenen Zugriff auf alle Systemdaten. Im Gegensatz zu den frühen Implementierungen von Mimikatz, bei denen einzelne Passwörter extrahiert und für den Systemzugriff verwendet wurden, ermöglicht das Goldene Ticket die Erstellung von gefälschten Authentifizierungsnachweisen in Form von Kerberos-Authentifizierungstickets. Wo kommt Mimikatz ins Spiel? Vereinfacht ausgedrückt, ermöglicht es den Hackern, die Zugangsdaten für das Active Directory (das alle Authentifizierungs- und Autorisierungsprotokolle verwaltet) zu „dumpen“ (im Grunde zu stehlen), entweder in Form eines Passworts oder als (verschlüsselter) Hash. Sobald sie im Active Directory sind, können Angreifer unzählige Kerberos-Authentifizierungstickets erstellen (die wie echte Tickets aussehen und sich auch so verhalten) und mit diesen auf alle gewünschten Informationen zugreifen. Und da die Authentifizierungstickets in der Tat echt sind, ist dies für niemanden ersichtlich.

Wie können Sie Ihr Netzwerk vor Golden-Ticket-Angriffen schützen?

Da der erste Schritt der Erstellung eines Goldenen Tickets den Zugriff auf das Active Directory erfordert, ist der Schutz dieses Zugriffs ein idealer und empfohlener Start. Die Implementierung eines Zugriffsmodells mit geringsten Rechten ist der Schlüssel. Je weniger Benutzer Zugriff auf sensible administrative Konten haben, desto geringer ist die Anzahl potenzieller Sicherheitslücken. Dies lässt sich leicht mit einem Identitäts- und Zugriffsmanagementsystem (IAM) bewerkstelligen, mit dem Sie die Zugriffsrechte aller Benutzer in Ihrem Netzwerk festlegen und überprüfen können. Indem Sie den Zugriff nur auf die Informationen beschränken, die die Mitarbeiter für ihre Arbeit benötigen, verringern Sie das Risiko, dass ein Golden-Ticket-Angriff tatsächlich erfolgreich ist. Denken Sie daran, dass ein Golden Ticket nicht dazu verwendet werden kann, einen endlosen Strom von (Kerberos-)Authentifizierungstickets zu erstellen, wenn es keinen Zugriff auf das administrative Konto hat, das die Ticket-Erstellung verwaltet.

Die nächste Best Practice ist die Implementierung von MFA, wo immer möglich. Ein Multi-Faktor-Authentifizierungsprozess sorgt für mehrere Barrieren gegen unbefugten Datenzugriff. Die absolute Notwendigkeit von MFA war noch nie so offensichtlich wie jetzt während einer globalen Pandemie, die zu einer massiven Veränderung am Arbeitsplatz geführt hat. Da immer mehr Menschen gezwungen waren, aus der Ferne zu arbeiten, beeilten sich Unternehmen, den Fernzugriff über das Microsoft Remote Desktop Protocol (RDP) bereitzustellen. Einige versäumten es jedoch, die notwendigen Sicherheitsprüfungen durchzuführen, wodurch ihre RDP-Ports dem Internet ausgesetzt waren und zu leichten Angriffszielen wurden.

Microsoft selbst empfiehlt, mindestens auf eine Zwei-Faktor-Authentifizierung (2FA) zu setzen und eine cloud-basierte Lösung in Betracht zu ziehen, die keine zusätzlichen Geräte benötigt. Und dank der Innovationen bei mobilen Geräten, die eine verschlüsselte Speicherung biometrischer Indikatoren ermöglichen, ist es einfacher denn je, MFA- und 2FA-Lösungen zu nutzen, die Fingerabdrücke oder Gesichtsauthentifizierung erfordern, um Zugang zu Netzwerken und Software zu erhalten. Die Sicherstellung, dass auf RDP nur über ein virtuelles privates Netzwerk (VPN) zugegriffen werden kann, das mit einer 2FA- oder MFA-Lösung geschützt ist, ist eine wesentliche Sicherheitsstufe.

Covid wird höchstwahrscheinlich einen nachhaltigen Einfluss auf unsere Arbeitsweise haben. Da wir immer mehr unserer beruflichen und täglichen Aktivitäten aus der Ferne erledigen, wird die Investition in robuste Sicherheitsmassnahmen zum Schutz von Computernetzwerken und Daten in Zukunft entscheidend sein. Ergreifen Sie diese Massnahmen jetzt und bleiben Sie Cyberkriminellen einen Schritt voraus.

[1] Andy Greenberg, He Perfected a Password-Hacking Tool—Then the Russians Came Calling, Wired, 11 Sept. 2017

 

Cyber-Kriminalität – wie Sie Ihr Unternehmen schützen!