Wenn ein Eindringen erkannt wird, Passwort vergessen? Es ist in der Regel die reflektierende und korrekte Geste: schnell, sichtbar und mit der Verheißung, den Zugriff des Angreifers abzuschneiden. Jedoch in hybriden Windows / Active Directory-Umgebungen, dass Aktion nicht immer sofort alle Authentifizierungspfade eliminiert, und diese Verzögerung kann für einen Gegner ausreichen, um seine Anwesenheit zu erhalten oder wiederherzustellen.
Das Problem hat mehrere Gesichter: Windows behält Cache hashes, um unverbundene Anmeldung zu ermöglichen, die Synchronisation von hashes to Entre ID (Azure AD) ist nicht immer sofort und Kerberos nutzt Tickets, die bis zu seinem Ablauf gültig bleiben. Das heißt, nach einem Passwortwechsel kann die vorherige Hash gleichzeitig in getrennten Maschinen, aktiven Kerberos Tickets und, in Hybriden, eine alte Hash noch nicht in die Cloud repliziert koexistieren.
Aus einer Ansprechperspektive hat dies praktische Auswirkungen: Ein Angreifer, der bereits eine Hash gefangen hat, kann Typtechniken verwenden Pass-the-hash, weiterhin Anmeldeinformationen in getrennten Endpunkten verwenden oder gültige Sitzungen mit Tickets pflegen. Die gravierendsten Varianten, wie z.B. geschmiedete Tickets (die sogenannten Golden- oder Silver-Tickets), haben die Effektivität einer einfachen Passwortänderung direkt invalidiert, bis diese kritischen Komponenten angesprochen werden.
Die gute Nachricht ist, dass viele dieser Vektoren durch konkrete und geordnete Maßnahmen gemildert werden: zuerst, Isolat und Kraftdisauthentik von den verübten Geräten - Trennen von Netzwerk, Kraft-Sitz-Verschluss oder Neustart und, soweit möglich, säubern aktive Kerbero-Tickets auf dem betroffenen Gerät -; zweitens, drehen kritische Anmeldeinformationen, einschließlich der von Dienstkonten mit Privilegien; und drittens, eine umfassende Überprüfung des Verzeichnisses, um falsche Berechtigungen oder ACLs, neue Konten, verdächtige SPDs oder Änderungen an AdminSDHolder zu erkennen.
Es gibt technische Mechanismen, die helfen, das Belichtungsfenster zu schließen: Kraft-Passwort-Synchronisation auf Enter ID (Azure AD Connect) oder aktivieren AD-Änderungs-Benachrichtigungen reduziert den zeitlichen Ablauf in hybriden Umgebungen; und die Spülung lokaler Tickets mit nativen Diensten kann Sitzungen, die nach der Rotation von Anmeldeinformationen aktiv bleiben. Microsoft dokumentiert, wie Hash-Synchronisation funktioniert und wie Synchronisierungen in Hybrid-Umgebungen, nützliche Informationen für Betriebsteams: https: / / learn.microsoft.com / azure / active-directory / hybrid / how-to-connect-password-hash-synchronisation.
Für ernstere Vorfälle, bei denen Tickets vermutet wurden geschmiedet, ist die störendste, aber notwendige Aktion in der Regel die kontrollierte Neustart der Domain KRBTGT-Konto (in der Regel in zwei Schritten) schädliche TGTs zu invalidieren. Dies erfordert Planung und Test in Testumgebungen, und Microsoft bietet technische Anleitung zum Verfahren und seine Risiken: https: / / learn.microsoft.com / Fehlersuche / windows-server / Identität / reset-krbtgt-password.
Es sollte nicht vergessen werden, dass die Wiederherstellung nicht nur technisch ist: alternative Möglichkeiten müssen gesucht werden, um eine passwortfreie Wiedereinreise zu ermöglichen, wie z.B. Delegationen, die die Wiederherstellung von Passwörtern, persistenten Genehmigungen auf ACLs oder hochrechten Konten erlauben, die nicht berührt wurden. Die Prüfung neuer Änderungen an Mitgliedern privilegierter Gruppen, Rollen oder Delegationen ist ebenso kritisch wie rotierende Schlüssel.
Parallel dazu ist es angebracht, die Oberfläche zu verschärfen, um zukünftige Bewertungen wirksamer zu machen: die obligatorische MFA auf Remote-Zugang und für Manager zu verhängen, die Kontobasis mit dauerhaften Privilegien zu reduzieren, das Prinzip des Mindestprivilegs anzuwenden und Lösungen zu verwenden, die Passwörter von Servicekonten und lokalen Anmeldeinformationen verwalten und drehen (z.B. LAPS oder andere geheime Manager). Die Erkennung ist ebenso wichtig wie die Eindämmung: Durch die Reaktion auf Authentifizierungsprotokolle, Seitenerkennungswarnungen und EDR / SIEM-Telemetrie wird die Identifizierung von Persistenzen beschleunigt.
Für operative Teams, die praktische und geordnete Aktionen wünschen, empfehle ich zunächst, einen sofortigen Eindämmungsplan zu implementieren: Betroffene Systeme zu isolieren, Sitzungs- und Neustart-Verschluss, kritische menschliche und Service-Anmeldeinformationen zu drehen und eine gerichtete Synchronisation in hybriden Umgebungen zu starten. Dann führen Sie eine detaillierte Prüfung von AD auf der Suche nach ACL-Änderungen, neue Konten mit Privilegien oder Modifikationen an AdminSDHolder, und dokumentieren Sie jeden Schritt für die Kette der Gewahrsam und Lektionen gelernt.
Schließlich unterschätzen Sie nicht die Bedeutung der Vorbeugung und Ausübung: regelmäßige Beweise für die Reaktion auf Vorfälle, Simulationen des Engagements von privilegierten Konten und die Bereitstellung von Kontrollen wie MFA auf allen kritischen Strecken drastisch reduzieren die Abhängigkeit von der Rückstellung von Passwörtern als einzige Verteidigung. Um Techniken zu verstehen, die Hashes und Tickets missbrauchen, ist eine gute Zusammenfassung der Offensive-Komponente in der Wissensbasis ATT & CK verfügbar: https: / / attack.mitre.org / Techniken / T1550 / 002 /.
Kurz gesagt, eine Passwortänderung ist notwendig, aber selten genug. Effektive Mediation kombiniert Isolation, Rotation von korrekten Anmeldeinformationen, Invalidierung von Sitzungen und Tickets, Prüfung von Genehmigungen und vorbeugenden Maßnahmen, die Fenstermöglichkeiten in der Zukunft reduzieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...