10 Schwachstellen im Active Directory, die Firmen angreifbar machen

22. Januar 2026

Inhaltsverzeichnis

  • Zu weit gefasste Berechtigungen und Privilegien
  • Kein praktiziertes Tiering
  • Veraltete Kennwörter
  • Veraltete Betriebssysteme
  • Veraltete Protokolle
  • Fehlende Härtung bei UNC-Pfaden
  • Administrative Konten sind für jeden sichtbar
  • Keine Multi-Faktor-Authentifizierung
  • Kein Authentication Mechanism Assurance (AMA)
  • Updates, Monitoring und Line of sight

Active Directory (AD) ist das Rückgrat der Authentifizierung und der Autorisierung im lokalen Unternehmensnetzwerk. Über AD werden Benutzer-, Gruppen- und Computerkonten verwaltet und zur täglichen Nutzung autorisiert. 

Dieser zentrale Verzeichnisdienst ist der Dreh- und Angelpunkt für Identitäten jeglicher Sensitivität und aus diesem Grund ein sehr attraktives Ziel für Hacking-Angriffe. Eine Kompromittierung des AD ist der grösste Anzunehmende Unfall in der IT, zieht in der Regel Datenabfluss, verschlüsselte Systeme und einen IT-Totalausfall nach sich. 

AD ist daher gegen die Standardangriffsvektoren zu schützen, als da wären:

1. Zu weit gefasste Berechtigungen und Privilegien 

Die Historie des Produktes AD und der langjährige Einsatz im Unternehmen führt in der Regel dazu, dass Konten, insbesondere Dienstkonten, über die Jahre zu hohe Berechtigungen und Privilegien akkumuliert haben.

Wird diese Akkumulierung mit einer weiten Streuung gepaart, das gleiche Dienstkonto mit hohen Privilegien wird auf vielen Systemen verwendet, ist das sehr leichte Beute für einen Angreifer.

Das gewähren von minimal notwendigen Privilegien und Berechtigungen, der Einsatz von gMSA (group managed service accounts) und DMSA (delegated managed service account) sind adäquate

2. Kein praktiziertes Tiering 

Seit der Demonstration von dem „golden ticket“ für Active Directory im Jahr 2014 ist klar geworden, dass die Zugriffe im Unternehmen strikt nach Ebenen (Tiers) getrennt werden müssen.

Höchst privilegierte Benutzerkonten dürfen nur auf höchst privilegierten Computersystemen verwendet werden. Wird ein höchst privilegiertes Benutzerkonto auf einem niedrig privilegierten Computersystem verwendet, können Angreifer, im Falle einer Kompromittierung des Endgeräts, sehr rasch die Useridentität erbeuten.

Fehlendes oder falsch praktiziertes Tiering ist, nach zu hoch privilegierten Konten, meist genutzten Schwachstellen für AD durch einen Hacker.

3. Veraltete Kennwörter 

Dienst- und Computerkonten sollten, anders als bei Benutzerkonten, zyklisch wechselnde Kennwörter aufweisen. Die Demonstration des „golden ticket“ für AD vor 10 Jahren zeigte noch ein zweites besonderes Ticket: das „silver ticket“.

Bei einem „silver ticket“ macht sich der Angreifer statische Kennwörter von Dienst- und Computerkonten eines Unternehmens zu Nutze, um sich persistenten und in der Regel lateralen Zugriff zu sichern.

Daher müssen Computerkennwörter, insbesondere die der Domain Controller und die Kennwörter der Dienstkonten, hier speziell das Kerberos-Ticketkontos „krbtgt“, zyklisch gewechselt werden. 

4. Veraltete Betriebssysteme 

Der Betrieb von Betriebssystemen auf Basis von Microsoft in der Unternehmens-IT ist weit verbreitet. Ebenso weit verbreitet ist der Betrieb von Microsoft Betriebssystemen, welche schon lange aus dem Support gelaufen sind.

„Aus dem Support gelaufen“ bedeutet insbesondere keine Sicherheits-Updates mehr und damit leichte Beute für Angreifer. Wird eine neue Schwachstelle X im Protokoll Y entdeckt, wird diese Schwachstelle für die aktuellen Microsoft-Betriebssysteme, hoffentlich zeitnah, per Update geschlossen, jedoch nicht für die Betriebssysteme, welche aus dem Support gelaufen sind.

Zur Orientierung:
Windows XP / Server 2003 R2: Supportende war am 08.04.2014
Windows Vista: Supportende war am 11.04.2017
Windows 7 / Server 2008 / Server 2008 R2: Supportende war am 14.01.2020
Windows 8: Supportende war am 12.01.2016.
Windows 8.1: Supportende war am 10.01.2023
Server 2012 / Server 2012 R2: Supportende war am 10.10.2023
Windows 10: Supportende ist am 14.10.2025 (analog zum Supportende von Exchange 2016 und 2019!)

Die Liste der End-of-Life (EoL)-Termine ist hier einsehbar:
https://learn.microsoft.com/en-us/lifecycle/products/

Weiterlesen…
Zurück zu IT-News

Ähnliche Beiträge

  • Fortinet Firewalls werden trotz Patch gehackt. Jetzt handeln!

    23. Januar 2026 Medienberichten zufolge ist ein Sicherheitspatch für diverse Fortinet-Produkte defekt. Admins können Instanzen aber trotzdem schützen. Derzeit gibt es Hinweise darauf, dass Angreifer ein jüngst veröffentlichtes Sicherheitsupdate umgehen und FortiOS, FortiProxy, FortiSwitchManager und FortiWeb attackieren. Die Lücke gilt als „kritisch“. Laufende Attacken Die IT-Nachrichtenwebsite Bleepingcomputer berichtet von Fortinet-Kunden bei denen Angreifer Fortinet-Produkte trotz installiertem Sicherheitspatch erfolgreich attackieren. Die Schwachstelle (CVE-2025-59718) ist seit Dezember vergangenen Jahres…

  • Windows 11 – Zwischenablage richtig nutzen – Speicheroptimierung

    5. Januar 2026 1. Zwischenablage richtig nutzen Im Vergleich zu bestimmten konkurrierenden Betriebssystemen auf dem Markt (ich meine dich, iPadOS) ist die Zwischenablageverwaltung von Windows 11 leistungsstark und robust. Ich empfehle, in den Einstellungen die grundlegende Funktion „Zwischenablageverlauf“ zu aktivieren, mit der Sie Inhalte über die Tastenkombination Windows-Logo-Taste + V anzeigen, kopieren und einfügen können. Auf der Seite „Einstellungen“ finden Sie weitere Optionen, darunter eine…

  • Word: Wie man Dokumente freigibt

    2. Januar 2026 Bestimmt kennen Sie das: Sie schicken ein Word-Dokument an Ihre Kollegen. Die Datei versieht anschliessend jeder mit Kommentaren oder Änderungen, sodass Sie vor der Herausforderung stehen, das Feedback aus mehreren verschiedenen Kopien mühsam mit Ihrem Original abzugleichen. Wesentlich schneller und einfacher funktioniert das über SharePoint oder OneDrive. Mithilfe der praktischen Microsoft-365-Anwendungen können Sie Word-Dokumente unkompliziert für andere Personen freigeben. Alle Kollegen mit…

  • «Dringende Überweisung» – CEO-Betrug bleibt ein Dauerbrenner für KMU

    4. Februar 2026 Der sogenannte CEO-Betrug gehört nach wie vor zu den am meisten dem BACS gemeldeten Betrugsmethoden und hat im vergangenen Jahr verglichen mit 2024 von 719 auf 971 Fälle zugenommen. Auch in der vergangenen Woche gingen beim BACS erneut Meldungen ein, die zeigen, dass die Täter ihre Masche stetig verfeinern. Sie setzen nicht mehr ausschliesslich auf gefälschte E-Mails, sondern auch gezielt auf psychologische…

  • Excel: Störende Zellen temporär ausblenden – Blitzdiagramm

    31. Dezember 2025 Mit diesen 2 Excel-Tricks glänzen Sie: Blenden Sie störende Zellinhalte einfach aus; und erstellen Sie mit einem Tastendruck ein Blitzdiagramm. Hier die Anleitungen: Zellinhalte ausblenden Ab und zu stören bestimmtee Zellen den optischen Aufbau und die Übersichtlichkeit eines Arbeitsblattes ganz erheblich. So machen Sie den Inhalt von Zellen sowohl für die Bildschirmanzeige als auch im Ausdruck unsichtbar: Blitzdiagramm erstellen Blitzdiagramm erstellenDie absolut…

  • Russland blockiert Apples Facetime

    05. Dezember 2025 Russland geht gegen Apple vor Russia has blocked Apple’s (AAPL.O), opens new tab video-calling app FaceTime, the state communications watchdog said on Thursday, as part of an accelerating clampdown on foreign tech platforms that authorities allege are being used for criminal activity. The move follows restrictions against Google’s YouTube, Meta’s (META.O), opens new tab WhatsApp and the Telegram messaging service. The Reuters Tariff Watch newsletter is…