Windows Privilege Escalation — Techniken, Risiken und Abwehr

von

Stefan
in

Einleitung

In Windows-Umgebungen ist Privilege Escalation (Rechteausweitung) ein zentraler Schritt in vielen Angriffsketten: Ein Angreifer mit eingeschränktem Benutzerkonto möchte Administrator- oder SYSTEM-Rechte erlangen, um Persistenz einzurichten, weitere Systeme zu kompromittieren oder-sensitive Daten zu exfiltrieren. Windows bietet zahlreiche Angriffsflächen — von fehlerhaften Service-Konfigurationen über schwache AD-Konfigurationen bis zu Credential-Diebstahl und Kerberos-Angriffen. Dieser Beitrag fasst die wichtigsten Techniken, typische Fundstellen und die besten Gegenmaßnahmen zusammen.

Achtung. Probiere die hier gezeigten Techniken nur auf deinem eigenen Rechner aus. Die Verwendung auf fremden Rechnern ist mit großer Wahrscheinlichkeit strafbar und durch Logs zurück verfolgbar.

Klassische Vektoren der Rechteeskalation

1. Lokale Konfigurationsfehler und Services

Viele Eskalationen beginnen mit falsch konfigurierten Windows-Services:

  • Unquoted Service Path: Wenn der Pfad zur Service-Executable Leerzeichen enthält und nicht in Anführungszeichen steht, kann ein Angreifer eine ausführbare Datei an einem früheren Pfadabschnitt platzieren, die beim Servicestart mit SYSTEM-Rechten ausgeführt wird.
  • Weak Service Permissions: Schreibrechte auf die Service-Binary, Dienst-Registry oder auf das Service-Image erlauben Ersatz oder Modifikation der ausführbaren Datei.
  • Insecure DLL-Search-Order / DLL Hijacking: Ein Dienst lädt eine DLL aus einem vom Angreifer kontrollierbaren Verzeichnis.

Typische Prüfungen: sc qc <ServiceName>, tasklist /svc, whoami /priv, sowie die Suche nach Services mit Schreibrechten in der Registry oder auf den Binaries.

2. Scheduled Tasks / Startup Items

Geplante Tasks, Autostart-Skripte oder Überwachungs-Jobs, die als SYSTEM/root laufen und Dateien aus beschreibbaren Orten laden, sind beliebte Hebel.

3. Sudo-Äquivalent: Rechte auf Dateisystem-ACLs

Fehlerhafte ACLs (z. B. Schreibrechte für Domänenbenutzer in wichtigen Verzeichnissen oder auf ausführbaren Dateien) ermöglichen Ersetzungen oder das Platzieren von Backdoors.

4. Credential Theft & Reuse

Einer der effektivsten Pfade zu höheren Rechten ist der Diebstahl von Anmeldeinformationen:

  • Mimikatz: Extrahiert Klartext-Passwörter, NTLM Hashes, Kerberos-Tickets aus Speicher/LSASS.
  • Pass-the-Hash / Overpass-the-Hash: Nutzung von Hashes oder Kerberos-Token zur Authentifizierung auf anderen Systemen.
  • Lateral Movement: Gestohlene Anmeldedaten werden genutzt, um auf weitere Hosts zuzugreifen.

5. Kerberos-Angriffe

Fortgeschrittene AD-Angriffe erlauben dauerhafte oder weitreichende Rechteausweitung:

  • Kerberoasting: Angeforderte Service-Tickets offline knacken, um Service-Passwörter zu erhalten.
  • AS-REP Roasting: Abfrage von Benutzerkonten mit deaktivierter Kerberos-PreAuth, um verschlüsselte Antworten zu erhalten und offline zu knacken.
  • Silver/Golden Tickets: Manipulation von Kerberos-Tickets, um mit gefälschten Tickets weitreichend Zugriff zu erlangen.

6. COM/Impersonation & Token Abuse

Privilegien wie SeImpersonatePrivilege/SeAssignPrimaryTokenPrivilege werden missbraucht, um Tokens anderer Prozesse zu übernehmen und so höhere Rechte zu erlangen (z. B. JuicyPotato/RottenPotato-Techniken).

7. Kernel-Exploits & Vulnerable Drivers

Treiber mit Exploits oder unsicheren IOCTLs können Kernel-Codeausführung erlauben — direkte SYSTEM-/Kernel-Rechte sind dann möglich. Solche Fälle sind seltener, aber sehr mächtig.

Werkzeuge, die Angreifer/Red Teams nutzen (und Defender kennen sollten)

  • Mimikatz — Credential harvesting & Kerberos-Token-Tools.
  • BloodHound — Graph-basierte Darstellung von AD-Angriffspfade(n).
  • PowerUp / Windows Exploit Suggester — Automatisierte Checks (lokale Schwachstellen, schlechte ACLs, SIDs, service misconfig).
  • JuicyPotato / RottenPotato / SharpPotato — Token-/Impersonation-Abuse (bei entsprechend offenen RPC/COM-Services).
  • Rubeus — Kerberos-Manipulationen (Roasting, Ticket-Requests, Overpass).

Hinweis: Viele dieser Tools werden legitimerweise im Pentest/BlueTeam-Kontext eingesetzt; sie offenbaren aber exakt die Schwachstellen, die Admins schließen sollten.

Beispiel (konzeptionell): Unquoted Service Path

Problem: Service-Image: C:\Program Files\My Service\service.exe — ohne Anführungszeichen. Windows versucht beim Start, die ausführbare Datei aus C:\Program.exe, C:\Program Files\My.exe etc. zu laden. Ist ein Angreifer in der Lage, C:\Program.exe abzulegen, so würde sie beim Dienststart mit SYSTEM-Rechten ausgeführt werden.

-> Prüfung: Liste aller Service-Pfad-Einträge prüfen; nach unquoted paths suchen; Binaries in sicheren Verzeichnissen halten; ACLs korrekt setzen.

Hardening & Gegenmaßnahmen (konkret)

  1. Least Privilege
    • Minimale Rechte für Benutzer und Dienste. Keine langlebigen Domain-Admin/Local-Admin-Konten ohne Notwendigkeit.
    • JIT/JEA-Modelle (Just-In-Time / Just-Enough-Administration) für administrative Aufgaben.
  2. Secure Service Configuration
    • Dienste mit vollständigen Pfaden in Anführungszeichen, keine Schreibrechte für unprivilegierte Accounts auf Service-Binaries oder Registry-Keys.
    • DLL-Search-Order mitigieren, sichere Library-Load-Richtlinien.
  3. Credential Protection & Rotation
    • Credential Guard, LAPS (Local Administrator Password Solution), regelmäßige Passwortrotation, MFA für admin-Konten.
    • LSASS-Speicherschutz, EDR-Konfigurationen, die Speicher-Dumps verhindern.
  4. Kerberos-Härtung
    • Kein Service-Account mit SPN und schwachem Passwort; Absicherung gegen Kerberoasting (starke, lange Service-Passwörter), Monitoring für ungewöhnliche Ticket-Requests, Einsatz von Kerberos armoring/FAST und constrained delegation.
    • NTLM deaktivieren, SMB-Signing forcieren.
  5. Patching & Treibersicherheit
    • Regelmäßige Updates für Windows und Treiber; nur signierte, geprüfte Drivers zulassen.
    • Vulnerability-Management für bekannte Kernel-Exploits.
  6. Monitoring & Detection
    • Prozess-, Netzwerk- und Authentication-Logs zentralisieren (SIEM), Alerts für suspicious service changes, new scheduled tasks, mass authentication failures, unusual ticket requests.
    • Einsatz von EDR/Endpoint-Sensors mit Erkennung von Mimikatz-ähnlichen Verhalten.
  7. Least-privileged Service Accounts & Constrained Access
    • Keine Nutzung von Domänenadministratoren als Service-Accounts; Rechte exakt auf das Minimum begrenzen.
  8. Hardened Build/Base Images
    • Standard-Images ohne unnötige Services, minimal installierte Software, restriktive Datei-ACLs.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert