10 Schwachstellen im Active Directory, die Firmen angreifbar machen

22. Januar 2026

Inhaltsverzeichnis

  • Zu weit gefasste Berechtigungen und Privilegien
  • Kein praktiziertes Tiering
  • Veraltete Kennwörter
  • Veraltete Betriebssysteme
  • Veraltete Protokolle
  • Fehlende Härtung bei UNC-Pfaden
  • Administrative Konten sind für jeden sichtbar
  • Keine Multi-Faktor-Authentifizierung
  • Kein Authentication Mechanism Assurance (AMA)
  • Updates, Monitoring und Line of sight

Active Directory (AD) ist das Rückgrat der Authentifizierung und der Autorisierung im lokalen Unternehmensnetzwerk. Über AD werden Benutzer-, Gruppen- und Computerkonten verwaltet und zur täglichen Nutzung autorisiert. 

Dieser zentrale Verzeichnisdienst ist der Dreh- und Angelpunkt für Identitäten jeglicher Sensitivität und aus diesem Grund ein sehr attraktives Ziel für Hacking-Angriffe. Eine Kompromittierung des AD ist der grösste Anzunehmende Unfall in der IT, zieht in der Regel Datenabfluss, verschlüsselte Systeme und einen IT-Totalausfall nach sich. 

AD ist daher gegen die Standardangriffsvektoren zu schützen, als da wären:

1. Zu weit gefasste Berechtigungen und Privilegien 

Die Historie des Produktes AD und der langjährige Einsatz im Unternehmen führt in der Regel dazu, dass Konten, insbesondere Dienstkonten, über die Jahre zu hohe Berechtigungen und Privilegien akkumuliert haben.

Wird diese Akkumulierung mit einer weiten Streuung gepaart, das gleiche Dienstkonto mit hohen Privilegien wird auf vielen Systemen verwendet, ist das sehr leichte Beute für einen Angreifer.

Das gewähren von minimal notwendigen Privilegien und Berechtigungen, der Einsatz von gMSA (group managed service accounts) und DMSA (delegated managed service account) sind adäquate

2. Kein praktiziertes Tiering 

Seit der Demonstration von dem „golden ticket“ für Active Directory im Jahr 2014 ist klar geworden, dass die Zugriffe im Unternehmen strikt nach Ebenen (Tiers) getrennt werden müssen.

Höchst privilegierte Benutzerkonten dürfen nur auf höchst privilegierten Computersystemen verwendet werden. Wird ein höchst privilegiertes Benutzerkonto auf einem niedrig privilegierten Computersystem verwendet, können Angreifer, im Falle einer Kompromittierung des Endgeräts, sehr rasch die Useridentität erbeuten.

Fehlendes oder falsch praktiziertes Tiering ist, nach zu hoch privilegierten Konten, meist genutzten Schwachstellen für AD durch einen Hacker.

3. Veraltete Kennwörter 

Dienst- und Computerkonten sollten, anders als bei Benutzerkonten, zyklisch wechselnde Kennwörter aufweisen. Die Demonstration des „golden ticket“ für AD vor 10 Jahren zeigte noch ein zweites besonderes Ticket: das „silver ticket“.

Bei einem „silver ticket“ macht sich der Angreifer statische Kennwörter von Dienst- und Computerkonten eines Unternehmens zu Nutze, um sich persistenten und in der Regel lateralen Zugriff zu sichern.

Daher müssen Computerkennwörter, insbesondere die der Domain Controller und die Kennwörter der Dienstkonten, hier speziell das Kerberos-Ticketkontos „krbtgt“, zyklisch gewechselt werden. 

4. Veraltete Betriebssysteme 

Der Betrieb von Betriebssystemen auf Basis von Microsoft in der Unternehmens-IT ist weit verbreitet. Ebenso weit verbreitet ist der Betrieb von Microsoft Betriebssystemen, welche schon lange aus dem Support gelaufen sind.

„Aus dem Support gelaufen“ bedeutet insbesondere keine Sicherheits-Updates mehr und damit leichte Beute für Angreifer. Wird eine neue Schwachstelle X im Protokoll Y entdeckt, wird diese Schwachstelle für die aktuellen Microsoft-Betriebssysteme, hoffentlich zeitnah, per Update geschlossen, jedoch nicht für die Betriebssysteme, welche aus dem Support gelaufen sind.

Zur Orientierung:
Windows XP / Server 2003 R2: Supportende war am 08.04.2014
Windows Vista: Supportende war am 11.04.2017
Windows 7 / Server 2008 / Server 2008 R2: Supportende war am 14.01.2020
Windows 8: Supportende war am 12.01.2016.
Windows 8.1: Supportende war am 10.01.2023
Server 2012 / Server 2012 R2: Supportende war am 10.10.2023
Windows 10: Supportende ist am 14.10.2025 (analog zum Supportende von Exchange 2016 und 2019!)

Die Liste der End-of-Life (EoL)-Termine ist hier einsehbar:
https://learn.microsoft.com/en-us/lifecycle/products/

Weiterlesen…
Zurück zu IT-News

Ähnliche Beiträge

  • Neues Freeware-Tool erkennt betrügerische Befehle

    9. Februar 2026 Neues Tool blockiert Angriffe von Betrügern, die sich als sichere Befehle tarnen Ein neues Open-Source- und plattformübergreifendes Tool namens Tirith kann Homoglyphen-Angriffe in Befehlszeilenumgebungen erkennen, indem es die URLs in eingegebenen Befehlen analysiert und deren Ausführung stoppt. Das Tool ist auf GitHub und auch als npm-Paket verfügbar. Es funktioniert, indem es sich in die Shell des Benutzers (zsh, bash, fish, PowerShell) einklinkt…

  • Angebot für M365-Schulungen

    02. Dezember 2025 M365-Schulung für Admins In diesem zweiteiligen E-Learning-Starterpaket mit über 90 Lektionen und mehr als acht Stunden Videoinhalt wird Junior-Admins gezeigt, wie Microsoft 365 erfolgreich eingerichtet und verwaltet werden kann. Microsoft 365 ist eine umfassende Plattform, die von der E-Mail-Kommunikation bis hin zur Zusammenarbeit im Team reicht und IT-Administratoren vor eine Reihe von Herausforderungen stellt. Administratoren müssen sich mit einer Vielzahl von Diensten…

  • Französisches Innenministerium gehackt

    17. Dezember 2025 Frankreichs Innenministerium gehackt – offenbar staatliche Akteure The French Interior Minister confirmed on Friday that the country’s Ministry of the Interior was breached in a cyberattack that compromised e-mail servers. While the attack (detected overnight between Thursday, December 11, and Friday, December 12) allowed the threat actors to gain access to some document files, officials have yet to confirm whether data was…

  • Sind regelmässige Passwortänderungen wirklich sinnvoll?

    2. Februar 2026 Jedes Jahr am 1. Februar findet der „Ändere dein Passwort“-Tag statt. Der Tipp ist jedoch ausgelutscht und kontraproduktiv. Es ist wieder „Ändere dein Passwort“-Tag am heutigen 1. Februar 2026! Haben Sie Ihre Passwörter schon alle geändert? Nein? Das geht auch in Ordnung! Denn regelmässige Passwortänderungen sind nicht mehr zeitgemäss. Ursprünglich hatte die Idee, wenigstens ein Mal im Jahr an die Passwort-Sicherheit zu erinnern und…

  • Apple mit kritischen Patches für iOS/macOS (Februar 2026)

    13. Februar 2026 Das Speicherbeschädigungsproblem wirkt sich auf die Systemkomponente „dyld“ aus und kann zur Ausführung von beliebigem Code ausgenutzt werden.  Apple hat am Mittwoch Updates für iOS- und macOS-Systeme veröffentlicht, um eine Zero-Day-Sicherheitslücke zu schliessen, die bereits in der Praxis ausgenutzt wurde. Die als CVE-2026-20700 erfasste Zero-Day-Sicherheitslücke wird als Speicherbeschädigungsproblem beschrieben, das zur Ausführung von beliebigem Code ausgenutzt werden könnte. Sie betrifft dyld (Dynamic…

  • Der Ausfall des “Schweizer” Webhosters Webland – eine Analyse

    23. Dezember 2025 Wie der Ausfall vom “Schweizer” Webhoster Webland manche Firmen an den Rand ihrer Existenz brachte Auch meine Frau und ich wurden Opfer des wochenlangen Totalausfalls vom Schweizer Webhoster Webland. Einschlägige Berichte dazu gab es zahlreiche und sogar ‘Radio SRF’ widmete dem Crash einen eigenen Beitrag mit dem Titel “Viele Schweizer KMU tagelang per Mail nicht erreichbar”. Glücklicherweise nutze ich den DNS-Dienst von…