Hat SID-Verlauf

Beschreibung

Der Sicherheitsprinzipal der Quelle hat die SID des Sicherheitsprinzipals des Ziels in seinem SIDHistory-Attribut, was bedeutet, dass die Quelle die gleichen Rechte wie das Ziel hat.

Der Verlauf der SID ist ein legitimer Mechanismus, der bei der Migration von Sicherheitsprinzipalen zwischen Domänen verwendet wird, um alle Berechtigungen, die sich auf ihre vorherige SID beziehen, funktionsfähig zu halten.

Dies ist jedoch auch ein Persistenzmechanismus, den Angreifer nutzen, da er es einem diskreten Backdoor-Konto ermöglicht, die gleichen Rechte wie das gewünschte Ziel zu haben, wie zum Beispiel ein Administratorkonto.

Ausnutzung

Angreifer, die den Sicherheitsprinzipal der Quelle kompromittieren, können sich direkt als Sicherheitsprinzipal des Ziels authentifizieren, da die SID des Ziels transparent in das Token eingefügt wird, das die Authentifizierungsmechanismen von Active Directory (NTLM und Kerberos) erzeugen.

Behebung

Wenn die Sicherheitsprinzipale von Quelle und Ziel mit einer genehmigten Domänenmigration verbunden sind, können Sie die Beziehung als legitim betrachten und müssen keine Maßnahmen ergreifen. Diese Beziehung bleibt als Erinnerung an einen möglichen Angriffspfad sichtbar.

Wenn die Ursprungsdomäne nach der Migration gelöscht wurde oder nicht in Tenable Identity Exposure konfiguriert ist, wird der Sicherheitsprinzipal des Ziels als nicht aufgelöst markiert. Da das Risiko beim Ziel liegt und dieses Ziel nicht existiert, gibt es kein Risiko und somit ist auch keine Behebung erforderlich.

Im Gegenteil, SID-Verläufe, die sich auf Benutzer oder Gruppen mit nativen Rechten beziehen, sind sehr wahrscheinlich bösartig, da Active Directory ihre Erstellung verhindert. Dies bedeutet, dass sie wahrscheinlich mit Hilfe von Hackertechniken wie einem „DCShadow”-Angriff erstellt wurden. Sie finden diese Fälle auch im IoE unter „SID-Verlauf”.

Ist dies der Fall, empfiehlt Tenable Identity Exposure eine forensische Untersuchung der Active Directory-Gesamtstruktur. Der Grund dafür ist, dass Angreifer hohe Rechte (Domänenadministrator oder gleichwertig) erlangt haben müssen, um den SID-Verlauf der Quelle böswillig zu bearbeiten. Die forensische Untersuchung hilft Ihnen bei der Analyse des Angriffs mit entsprechenden Anleitungen zur Behebung und identifiziert potenzielle Hintertüren, die entfernt werden müssen.

Schließlich empfiehlt Microsoft, alle Zugriffsrechte in allen Diensten (SMB-Freigaben, Exchange usw.) zu ändern, um die neuen SIDs zu verwenden, und unnötige SIDHistory-Werte zu entfernen, nachdem die Migration abgeschlossen ist. Dies ist eine bewährte Praxis, auch wenn es sehr schwierig ist, alle ACLs vollständig zu identifizieren und zu korrigieren.

Ein Benutzer, der das Recht hat, das SIDHistory-Attribut auf dem Quellobjekt selbst zu bearbeiten, kann SIDHistory-Werte entfernen. Anders als bei der Erstellung sind für diesen Vorgang keine Domänenadministratorrechte erforderlich.

Hierfür können Sie nur PowerShell verwenden, da grafische Tools wie „Active Directory-Benutzer und -Computer” nicht funktionieren. Beispiel:

Kopieren
Set-ADUser -Identity <user> -Remove @{sidhistory="S-1-..."}

Achtung: Ein SIDHistory-Wert lässt sich zwar leicht entfernen, doch es ist sehr kompliziert, diesen Vorgang rückgängig zu machen. Dies liegt daran, dass Sie den SIDHistory-Wert neu erstellen müssen, wofür das Vorhandensein der anderen Domäne erforderlich ist, die möglicherweise außer Betrieb genommen wurde. Aus diesem Grund empfiehlt Microsoft auch, dass Sie Snapshots oder Sicherungskopien erstellen.

Siehe auch