Die Windows-Sicherheitskennung (SID) ist ein eindeutiger Kennwert, der einen Benutzer, ein Computerkonto oder eine Gruppe identifiziert. Beim Erstellen eines Kontos weist der Domain Controller (DC) jedem Konto eine eindeutige SID zu, die in der Datenbank gespeichert wird.
Wenn sich ein Benutzer anmeldet, ruft das System die SID für den jeweiligen Benutzer ab und speichert sie in einem Zugriffstoken. Die SID im Zugriffstoken wird verwendet, um den Benutzer bei allen nachfolgenden Interaktionen mit dem System zu identifizieren. Sie wird auch verwendet, um den Sicherheitsprinzipal und die Zugriffsebene des Kontos zu verfolgen, wenn ein Benutzer eine Ressource aufruft.
Wenn ein Benutzer zu einer anderen Domain wechselt, verliert er den Zugriff auf die Ressourcen in seiner früheren Domain. SID-History ist ein solches Attribut, das solche Migrationsszenarien unterstützt. Es ist entscheidend für die Aufrechterhaltung des Zugriffs, wenn der Benutzer von einer Domain zu einer anderen wechselt. Das bedeutet, dass ein Konto mehrere SIDs enthalten kann und alle Werte in SID-History im Zugriffstoken enthalten sind.
Die Schwachstelle bei SID-History liegt darin, ob die Attribute abgesichert sind oder nicht. Wenn diese Attribute nicht abgesichert sind, kann ein Benutzerkonto, das während einer Domainmigration die Enterprise-Administrators SID in seiner SID-History enthält, den Zugriff und die Berechtigungen für das Benutzerkonto in allen Domains innerhalb der Gesamtstruktur zu einem effektiven Domain-Administrator erhöhen.
Wenn der Angreifer über Domänenadministratorrechte (oder gleichwertige Rechte) verfügt, kann er gesammelte oder bekannte SIDs aus einer anderen Gesamtstruktur in die SID-History einfügen. Diese eingefügte SID wird zu den Zugriffstoken hinzugefügt und ermöglicht die Identitätsübernahme beliebiger Benutzer/Gruppen, z. B. Unternehmensadministratoren.
Diese Form der Manipulation von Zugriffstoken ermöglicht einen erweiterten Zugriff auf Ressourcen. Der Angreifer kann auch Techniken zur lateralen Ausbreitung wie Remote Services, SMB/Windows Admin Shares oder Windows Remote Management verwenden, um Zugriff auf ansonsten unzugängliche Domains zu erhalten.
1. Empire: Es kann einem Benutzer SID-History hinzufügen, wenn er sich auf einem DC befindet.
2. Mimikatz: MISC::AddSid kann der SID-History eines Benutzers eine beliebige SID oder ein beliebiges Benutzer- oder Gruppenkonto hinzufügen.
Diese Technik der Privilegienerweiterung ist zwar getarnt, kann aber dennoch erkannt werden. Achten Sie auf folgende Punkte, um diese Art von Angriff aufzudecken.
Organisationen, die ihre Kontoattribute nicht sichern, können Opfer dieser Form von Angriffen werden. Stellen Sie nach Abschluss der Migration legitimer Konten sicher, dass die SID-History-Attribute bereinigt werden, um das Risiko solcher Angriffe zu minimieren.
Stellen Sie sicher, dass SID-Filter auf Interforest-Vertrauensstellungen (z. B. Forest- und externe Trusts) angewendet werden. Ein Forest stellt eine logische Grenze in Active Directory dar, die Domains, Benutzer, Assets und Gruppenrichtlinien enthält. Eine Vertrauensstellung ist eine Methode, mit der zwei verschiedene Domains oder Forests verbunden werden, um auf die Ressourcen der jeweils anderen zuzugreifen. Die SID-Filter stellen sicher, dass Authentifizierungsanforderungen über eine Vertrauensstellung nur SIDs von Sicherheitsprinzipalen aus der vertrauenswürdigen Domain enthalten.
Die Filter können wie folgt angewendet werden:
Durch den Einsatz eines integrierten SIEM-Tools wie Log360 von ManageEngine können diese Bedrohungen mühelos erkannt und abgewehrt werden. Die Lösung überprüft Active Directory-Änderungen und Netzwerkgeräteprotokolle, um Organisationen vor externen und internen Bedrohungen zu schützen. Klicken Sie hier, um mehr über alle Funktionen von Log360 zu erfahren.
Vielen Dank für das Herunterladen von Log360
Wir werden den Download-Link in Kürze an die registrierte E-Mail-ID senden.