Kerberos und das Golden Ticket – Der IT-Security-Super-GAU

Fachbeitrag

Das Kerberos-Protokoll ist ein Standard in Windows-Netzwerken. Es gilt als verhältnismäßig sicher und ist eng mit dem Active Directory verzahnt. Allerdings hat dies auch eine Schattenseite, die es in sich hat: das Golden Ticket.

Der dreiköpfige Höllenhund

Der Begriff „Kerberos“ entstammt der griechischen Mythologie und ist der Name des furchteinflößenden Beschützers der Unterwelt. Diese von den Entwicklern passend gewählte Analogie beschreibt recht zutreffend, wozu der Authentifizierungsdienst im Stande ist. Im Zentrum steht dabei ein Kerberos-Server, der Clients gegenüber Servern, Server gegenüber Clients und sich selbst gegenüber den anderen authentifiziert und verifiziert. Dabei benutzt Kerberos ein Ticketsystem und ist u.a. in der Lage, Man-in-the-middle-Angriffe effektiv zu unterbinden. Microsoft setzt es daher als Standardprotokoll für Authentifizierungen ab Windows-2000-basierten-Netzwerken und Clients ein. Die Schlüssel werden dabei im Active Directory gespeichert.

Hacker Herakles

Nun besagt die Legende, dass Herakles (auch unter seinem römischen Namen Herkules bekannt) es schaffte, den Höllenhund von seiner Pforte zu entführen, um ihn in die Oberwelt zu bringen. Der Schutz zwischen Oberwelt und Unterwelt war damit aufgehoben. Tote und Lebendige konnten wechselseitig ein- und ausgehen. Eine ungeheure Tat, die mit dem vergleichbar ist, was heutige Hacker mit Kerberos veranstalten können: sich ein sog. Golden Ticket ausstellen.

Das Golden Ticket

Dieses Ticket ist die ultimative Eintrittskarte in alle (!) Systemressourcen, die in einem Active Directory eingebunden sind. Es ist daher vergleichbar mit einem Generalschlüssel für jegliche Systemressourcen mit den höchsten Privilegien. Es hat eine Gültigkeit von 10 Jahren und lässt sich nicht mehr entfernen. Technisch gesehen ist das Golden Ticket ein ticket granting ticket (TGT), mit dem sich der Angreifer selbst beliebige Authentifizierungstickets innerhalb der Domäne ausstellen kann. Für die eigentliche Anmeldung wird dann eine Pass-the-Ticket-Technik verwendet.

Ist das nicht sehr kompliziert?

Der Angriff ist nicht trivial und erfordert einiges an Können. Dennoch ist er möglich und selbst der Deutsche Bundestag wurde vermutlich 2015 auf genau diese Weise angegriffen. Vereinfacht dargestellt geht der Angreifer in vier Schritten vor:

  1. Er verschafft sich Zugang zu einem Benutzerkonto der Domäne. Das könnte z.B. durch Ausspähen der Credentials oder über eine Phishing-E-Mail erfolgen.
  2. Da ein Benutzerkonto aber nur über eingeschränkte Rechte verfügt, macht sich der Angreifer nun auf die Suche nach den privilegierteren Zugangsdaten eines Administratorkontos. Das könnte bspw. durch eine Rechteausweitung (Privilege escalation) in Folge der Ausnutzung einer Schwachstelle erfolgen oder ebenfalls durch das Ausspähen von Zugangsdaten. Dafür stehen ihm zahlreiche Tools zur Verfügung. Dadurch erhält er Zugriff auf den Domain-Controller.
  3. Nun wird es technisch kompliziert: Der Angreifer muss sich beim Domain Controller anmelden und den Passwort-Hash für das KRMTGT-Konto extrahieren (dumpen). Hierfür wird in der Regel Mimikatz verwendet, ein sehr mächtigstes und frei zugängliches Tool für Penetrationstests. Es ist darauf spezialisiert Authentifizierungsdaten auszulesen.
  4. Auch beim nächsten Schritt des Angreifers hilft ihm ebenfalls Mimikatz: Dank der erbeuteten Daten kann er sich nun in jeder Systemressource anmelden und dort auf alle Daten (soweit diese nicht anderweitig verschlüsselt sind) direkt zugreifen. Game over.

Was machen, wenn ein Angriff erfolgt ist?

So hart es klingt, aber es gibt keine vernünftige Möglichkeit, das Netzwerk sicher zu bereinigen, um den Angreifer auszusperren. Weder ein Ändern des Passworts des KRBTGT-Kontos, noch eine Neuaufsetzung des Domain Controllers ändern etwas an der Gültigkeit des Authentifizierungstokens. Und genau deswegen sind Angriffe dieser Art so schwerwiegend.

Besteht also die Möglichkeit, dass ein Golden Ticket ausgestellt wurde, muss dieser Frage umgehend und umfassend nachgegangen werden. Ein solcher Hinweis könnte bspw. in einem ungewollten Ausführen von Mimikatz auf einem System der Domäne liegen. Es bedarf eigentlich keiner weiteren Erklärung, wie viel Schaden sich innerhalb kürzester Zeit mit einem Golden Ticket anrichten lässt.

Welche Schutzmaßnahmen gibt es?

Alle Maßnahmen, die stets von IT-Security-Experten empfohlen werden, helfen im Vorfeld auch hier. Schließlich ist der erste Schritt hin zum Golden Ticket die Erbeutung von Benutzername und Passwort eines Benutzers. Das gilt es zu verhindern. Um nur ein paar zu nennen: komplexe Passwörter, Schulungen für Mitarbeiter insb. in Bezug auf Phishing, Updates, Virenschutz, Firewalls, Administratorenkonten nur im wirklichen Bedarfsfall nutzen etc., Sie kennen es. Wenn nicht… unsere Nummer habe Sie ja.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Forensik

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.