Partner werden
Login

Password Guessing - Angriff

«  Zu allen Beiträgen

📄 Inhalt

Einleitung

Password Guessing Angriffe gegen Microsoft Active Directory und Entra ID haben sich zu einer der kritischsten Bedrohungen für Unternehmensidentitäten entwickelt. Diese Angriffe stellen eine existenzielle Bedrohung dar, da sie die zentralisierte Identitätsverwaltung ins Visier nehmen und bei Erfolg vollständige Organisationskompromittierung ermöglichen können.

Die Bedrohungslandschaft zeigt eine alarmierende Entwicklung: Microsoft verarbeitet täglich 600 Millionen Angriffe auf Kunden, mit einem Anstieg von 2,75x bei von Menschen gesteuerte Ransomware-Angriffen im Jahresvergleich. Active Directory ist dabei das Ziel von 9 von 10 Ransomware-Angriffen in 2024, mit durchschnittlichen Kosten von 5,13 Millionen Dollar pro Angriff. Diese Zahlen unterstreichen die kritische Bedeutung effektiver Schutzmaßnahmen gegen Password Guessing Angriffe.

Details zum Vorgehen

Password Guessing Angriffe in AD/Entra ID Umgebungen umfassen verschiedene automatisierte Techniken zur Kompromittierung von Benutzeranmeldedaten. Die vier Hauptkategorien sind:

Password Spraying stellt die aktuell gefährlichste Variante dar. Diese horizontalen Brute-Force-Angriffe verwenden häufige Passwörter gegen große Benutzerlisten, um traditionelle Kontosperrrichtlinien zu umgehen. Angreifer testen typischerweise 1-3 gängige Passwörter gegen mehrere hundert Konten und implementieren Verzögerungen von 10+ Sekunden zwischen Versuchen, um Erkennungsschwellen zu unterschreiten.

Brute-Force-Angriffe konzentrieren sich auf systematische Passwort-Enumeration gegen spezifische Konten, oft privilegierte Administratorkonten. Diese Angriffe sind durch viele aufeinanderfolgende Versuche gekennzeichnet und haben eine höhere Erkennungswahrscheinlichkeit, können aber bei Erfolg verheerenden Schaden anrichten.

Dictionary-Angriffe nutzen vorkompilierte Listen gängiger Passwörter, basierend auf organisatorischen Mustern. Sie integrieren saisonale Passwörter (Winter2024!, Frühling2025!), firmenspezifische Begriffe und öffentlich verfügbare Passwort-Dumps aus vergangenen Hackingangriffen.

Credential Stuffing automatisiert das Testen von bekannt gewordenen Benutzername/Passwort-Paaren über mehrere Dienste hinweg. Obwohl die Erfolgsrate typischerweise nur 0,1-2% beträgt, skaliert der Angriff durch Volumen und umgeht Kontosperren durch Anmeldedatenvielfalt. 

Besondere Gefahr für Hybride Umgebungen

Die erweiterte Angriffsfläche in Hybrid-Umgebungen ermöglicht es Angreifern, sowohl On-Premises- als auch Cloud-Komponenten anzugreifen. 

Präventive Maßnahmen

  • Multifaktorauthentifizierung, insbesondere für privilegierte Konten. MFA-Methoden sollten nach Sicherheit priorisiert werden:
    1. Phishing-resistent: FIDO2-Sicherheitsschlüssel, Windows Hello for Business
    2. Passwortlos: Microsoft Authenticator passwortlos
    3. Starke MFA: Authenticator-App-Benachrichtigungen, OATH-Token
    4. Telefon-Authentifizierung: SMS/Sprache (am wenigsten bevorzugt)
  • Conditional Access Richtlinien implementieren
    • Legacy-Authentifizierung blockieren: Alle Benutzer, alle Cloud-Apps, Client-Apps (Exchange ActiveSync, andere Clients)
    • Standortbasierte Zugriffskontrolle: Nicht vertrauenswürdige Standorte blockieren oder MFA erforderlich
    • Geräte-Compliance: Gerät muss als konform markiert sein
  • Entra ID Smart Lockout sollte mit folgenden Einstellungen konfiguriert werden
    • Sperre: 5-10 fehlgeschlagene Versuche
    • Sperrdauer: 60-120 Sekunden minimum (steigt bei nachfolgenden Versuchen)
    • Hybrid-Umgebungen: Entra ID-Schwelle MUSS geringer sein als On-Premises AD DS-Schwelle 
  • On-Premises Active Directory erfordert
    • Sperre: 10-15 fehlgeschlagene Versuche
    • Sperrdauer: 15-30 Minuten
    • Kontosperre zurücksetzen: 15-30 Minuten

Monitoring

  • Windows Event Log Überwachung sollte folgende Events priorisieren
    • Event ID 4625: Fehlgeschlagene Anmeldeversuche (kritisch für Brute-Force-Erkennung)
    • Event ID 4740: Kontosperr-Events auf Domänencontrollern
    • Event ID 4771: Kerberos-Präauthentifizierungsfehler
    • Event ID 4776: NTLM-Authentifizierungsfehle
  • Entra ID Sign-in Logs erfordern Überwachung der Result Codes:
    • 50126: Ungültiger Benutzername oder Passwort
    • 50053: Konto durch Smart Lockout gesperrt
    • 50055: Passwort abgelaufen
    • 50056: Ungültiges oder leeres Passwort