Angriffspfade im Netzwerk
Vom ersten Zugriff zur Domain-Übernahme
In internen Pentests sehen wir nur selten die eine spektakuläre Schwachstelle, die sofort alles kompromittiert.
Stattdessen begegnet uns fast immer das gleiche Muster: viele typische, bekannte Schwachstellen. Ein schwaches Passwort, eine veraltete Konfiguration oder ein offener Dienst. Jede dieser Schwächen ist für sich genommen bereits ein relevantes Risiko, wird im Alltag jedoch häufig unterschätzt oder als „nicht dringend“ eingeordnet.
Für sich genommen wirken diese Dinge oft unspektakulär. In Kombination führen sie jedoch regelmäßig dazu, dass wir uns Schritt für Schritt durch ein Netzwerk bewegen können, bis hin zur vollständigen Übernahme.
Wie genau das abläuft, lässt sich am besten an einem typischen Szenario zeigen.
Ein unspektakulärer Anfang
In der Praxis starten wir häufig mit einem bestehenden Zugang im Netzwerk – etwa über ein zuvor platziertes Implant im Kundennetzwerk.
Zu diesem Zeitpunkt haben wir keine erhöhten Rechte, keinen administrativen Zugriff und nur eingeschränkte Möglichkeiten. Genau das macht diese Phase so interessant: Alles, was danach passiert, basiert auf Schwächen, die im Alltag oft übersehen werden.
Ein erster Schritt ist dabei oft vergleichsweise einfach. In zahlreichen Umgebungen existieren noch Systeme mit Standardzugangsdaten oder schwachen Passwörtern. Besonders Geräte wie Drucker oder Management-Oberflächen werden dabei häufig übersehen.
Wenn ein Login auf einem solchen System funktioniert, hängt die Auswirkung stark vom konkreten System und den enthaltenen Daten ab. In vielen Fällen erhalten wir dadurch jedoch Einblick in interne Strukturen, Konfigurationen oder sogar gespeicherte Zugangsdaten.
Der entscheidende Punkt ist nicht nur der Zugriff auf das einzelne System, sondern die Informationen, die sich daraus gewinnen lassen. Der Angriff beginnt also nicht mit einem Exploit, sondern mit einem ganz normalen Login.
Das Netzwerk als Angriffsfläche
Sobald wir uns im Netzwerk bewegen, nutzen wir Mechanismen aus, die eigentlich für Komfort gedacht sind. Einer davon ist LLMNR: Ein Protokoll, das bei der Namensauflösung hilft.
In der Praxis bedeutet das: Systeme versuchen, angefragte Ressourcen im Netzwerk aufzulösen. Etwa wenn ein Server nicht gefunden wird oder ein Benutzer sich vertippt. Dabei wird unter anderem auf Mechanismen wie LLMNR zurückgegriffen. Genau dieses Verhalten lässt sich ausnutzen. Indem wir auf solche Anfragen reagieren, können wir Systeme dazu bringen, Authentifizierungsinformationen an uns zu senden.
Ob und wie häufig das funktioniert, hängt stark von der jeweiligen Umgebung ab. In vielen realen Netzwerken lassen sich jedoch auf diese Weise Authentifizierungsversuche beobachten und mitschneiden.
SMB Relay
Besonders kritisch wird es, wenn in diesem Zusammenhang eine weitere, oft übersehene Konfiguration ins Spiel kommt: fehlende SMB-Signierung.
In diesem Fall können abgefangene Authentifizierungen unter bestimmten Voraussetzungen weiterverwendet werden. Das bedeutet, dass wir uns gegenüber anderen Systemen authentifizieren können, ohne das eigentliche Passwort zu kennen oder einen Hash knacken zu müssen.
Was das in der Praxis bedeutet
In der Praxis kann das – abhängig von Netzwerkgröße, Konfiguration und vorhandenen Gegenmaßnahmen – dazu führen, dass wir Zugriff auf weitere Systeme erhalten, etwa auf File Server oder andere Clients im Netzwerk.
Wie weit sich dieser Zugriff ausbauen lässt, ist stark umgebungsabhängig. In vielen Projekten entsteht an dieser Stelle jedoch ein klarer Angriffspfad, der sich schrittweise erweitern lässt.
Informationen, die eigentlich niemand schützen wollte
Parallel dazu schauen wir uns immer an, was ohne Authentifizierung möglich ist. Und auch hier stoßen wir regelmäßig auf interessante Dinge.
Offene Freigaben, anonyme Zugriffe oder falsch konfigurierte Dienste liefern oft genau die Informationen, die man für den nächsten Schritt braucht. Benutzerlisten, interne Dokumentation oder Skripte wirken zunächst unscheinbar, helfen aber enorm dabei, das Netzwerk zu verstehen.
Diese Phase ist weniger spektakulär, aber entscheidend. Sie verwandelt einen „blinden“ Angreifer in jemanden, der sich gezielt durch die Umgebung bewegen kann.
Der Moment in dem es kritisch wird
Früher oder später stoßen wir in vielen Projekten auf frei zugängliche Ressourcen: etwa offene NFS-Freigaben, SMB/RDP-Null-Sessions oder FTP-Server mit anonymem Login.
Dort finden sich häufig genau die Informationen, die man für die nächsten Schritte benötigt: Benutzerlisten, interne Dokumentation, Skripte oder auch Dateien wie Excel-Tabellen, Konfigurationsdateien und Textdokumente.
Erst bei genauerem Hinsehen wird klar: Nicht selten enthalten diese Dateien Zugangsdaten im Klartext.
Der Unterschied ist jedoch: Ein Angreifer nutzt diese Informationen aktiv weiter. Gefundene Zugangsdaten werden direkt für Logins ausprobiert, auf anderen Systemen getestet oder in leicht abgewandelter Form wiederverwendet. So wird aus einer einzelnen Information schnell ein Einstiegspunkt für weitere Systeme.
Alte Systeme als Beschleuniger
Zusätzlich finden sich in fast jeder Umgebung veraltete Systeme oder ungepatchte Software. Diese sind nicht immer der erste Einstiegspunkt. Insbesondere dann nicht, wenn sie nicht direkt aus dem Internet erreichbar sind. Sobald sich ein Angreifer jedoch im Netzwerk befindet, spielen sie eine entscheidende Rolle.
Sie ermöglichen es, bestehende Zugriffe auszubauen, Rechte zu erhöhen oder sich schneller weiterzubewegen. In Kombination mit den zuvor gesammelten Informationen entsteht so eine Dynamik, die sich kaum noch aufhalten lässt.
Warum das Ganze so gut funktioniert
Das Entscheidende an diesen Szenarien ist nicht die einzelne Schwachstelle. Es ist ihr Zusammenspiel.
Ein schwaches Passwort, eine offene Freigabe oder eine unsichere Netzwerkkonfiguration sind jeweils für sich genommen bereits problematisch. In der Praxis werden sie jedoch oft unterschätzt. Erst in der Kombination entsteht ein realistischer Angriffspfad. Und genau das beobachten wir regelmäßig.
Fazit: Realität statt Einzelbefund
Die meisten erfolgreichen Angriffe beginnen nicht mit hochkomplexen Techniken, sondern mit alltäglichen Schwachstellen. Was sie gefährlich macht, ist nicht ihre Existenz, sondern ihre Kombination.
Genau hier liegt der Unterschied zwischen einem reinen Schwachstellenscan und einem Pentest. Während ein Scan einzelne Probleme auflistet, zeigt ein Pentest, wie diese Probleme zusammenspielen und was im schlimmsten Fall daraus entsteht.
Oder anders gesagt: Nicht die einzelne Schwachstelle ist entscheidend, sondern der Weg, den sie ermöglicht.