🏢Active DirectoryAttack PathsAdvancedPermissions

Active Directory Angriffspfade: Wie Angreifer Fehlkonfigurationen zu Domain Admin Verketten

Angriffspfade verketten AD-Fehlkonfigurationen um Domain Admin zu erreichen. Lernen Sie wie BloodHound diese Pfade kartiert und wie Sie sie eliminieren bevor Angreifer sie ausnutzen.

ES
EtcSec Security Team
2 min read
Active Directory Angriffspfade: Wie Angreifer Fehlkonfigurationen zu Domain Admin Verketten

Was Sind Angriffspfade zu Domain Admin?

In Active Directory sind Angriffspfade Ketten von Beziehungen — Gruppenmitgliedschaften, ACL-Berechtigungen, GPO-Links, Delegationskonfigurationen, Kerberoastbare Konten — die einen wenig privilegierten Angreifer mit Domain Admin verbinden.

Moderne Angreifer kartieren die gesamte AD-Umgebung als Graphen, identifizieren den kürzesten Pfad zu Domain Admin und folgen diesem Pfad — Hop für Hop. Jeder Hop nutzt eine andere Fehlkonfiguration aus.

Tools wie BloodHound sammeln diese Graphdaten und finden kürzeste Pfade zwischen beliebigen Knoten. Ein Angreifer mit einem kompromittierten Standard-Benutzerkonto kann den Pfad zu Domain Admin in Minuten visualisieren.

Die Angriffskette

Schritt 1 - AD-Graphdaten Sammeln

bloodhound-python -u [email protected] -p password -ns 10.10.0.1 -d corp.local -c All --zip

Schritt 2 - Kürzeste Pfade zu Domain Admin Finden

-- Kürzester Pfad von jedem Benutzer zu Domain Admins
MATCH p=shortestPath((u:User {enabled:true})-[*1..]->(g:Group {name:"DOMAIN [email protected]"}))
RETURN p ORDER BY length(p) ASC LIMIT 10

Schritt 3 - Dem Kürzesten Pfad Folgen

Typischer Pfad: jsmith (Standard) → GenericWrite auf svc_deploy → Kerberoasting → IT_Admins → Domain Admins. 4 Hops, kein Exploit.

Erkennung

Event IDQuelleErkannter Pfad-Hop
4769DCKerberoasting — TGS-Anfrage für SPN
4662DCDCSync — Replikationsrechte ausgeübt
4728/4756DCGruppenänderung — Verschachtelungspfad ausgenutzt

💡 Tipp: Implementieren Sie BloodHound im Verteidigungsmodus. Führen Sie wöchentliche Graph-Sammlungen durch und alarmieren Sie bei neuen kürzesten Pfaden zu Domain Admin.

Behebung

💡 Schnelle Massnahme: Führen Sie BloodHound noch heute in Ihrer Umgebung aus. Der erste Scan enthüllt fast immer mindestens einen Pfad zu Domain Admin von einem nicht-privilegierten Konto.

1. Die Kürzesten Pfade Zuerst Eliminieren

Für jeden Pfad-Typ:

  • ACL-Kante: Gefährlichen ACE vom Objekt entfernen
  • Gruppenversschachtelungs-Kante: Gruppe aus privilegierter Gruppe entfernen
  • Kerberoastable-Kante: Passwort rotieren oder zu gMSA migrieren
  • GPO-Kante: Bearbeitungsrechte vom Nicht-Admin-Konto entfernen

So Erkennt EtcSec Dies

PATH_ACL_TO_DA kartiert jeden ACL-basierten Pfad von Standard-Benutzern zu Domain Admin.

PATH_GPO_TO_DA identifiziert Pfade, wo GPO-Bearbeitungsrechte einen indirekten Pfad zur DC-Kompromittierung bieten.

PATH_KERBEROASTING_TO_DA kennzeichnet Kerberoastbare Service-Konten mit Domain Admin-Privilegien.

ℹ️ Hinweis: EtcSec kartiert Angriffspfade kontinuierlich. Starten Sie ein kostenloses Audit.

🏢 Active DirectoryAttack PathsAdvancedPermissions
EtcSec

© 2026 EtcSec. All rights reserved.

Active Directory Angriffspfade zu Domain Admin | EtcSec — EtcSec Blog | EtcSec