vSphere Active Directory Sicherheit: Forschungsbericht
Die Active Directory-Integration von VMware vSphere legt Anmeldeinformationen auf Netzwerk-, Festplatten- und Speicherebene offen, wenn Standardkonfigurationen verwendet werden. Standalone-ESXi-Hosts speichern Maschinenpasswörter im Klartext, cachen Benutzer-Kerberos-Tickets auf der Festplatte und gewähren Root-Zugriff auf alle SSH-Sitzungen, unabhängig vom authentifizierten Benutzer. Der vCenter Server bietet stärkere Sicherheit durch SAML-Token-Isolierung und granulare rollenbasierte Zugriffskontrolle, jedoch nur, wenn er so konfiguriert ist, dass LDAPS- oder SPNEGO-Authentifizierung anstelle der Standard-LDAP-Identitätsquelle verwendet wird.
vSphere Active Directory-Sicherheit: Ein umfassender Forschungsbericht
Wenn sich Administratoren bei VMware vSphere mit Active Directory-Anmeldeinformationen authentifizieren, erwarten sie zu Recht, dass Passwörter validiert und dann vergessen werden. Die Realität ist weitaus komplexer.
Diese unabhängige Sicherheitsforschung verfolgt AD-Anmeldeinformationen über jede Ebene einer vSphere-Umgebung, von ESXi 7 und 8 bis zu vCenter Server 7 und 8. Die Ergebnisse zeigen, dass Standardkonfigurationen Passwörter durch Klartext-LDAP-Übertragungen, weltweit lesbare Keytabs und persistente Kerberos-Ticket-Caches offenlegen. Auf eigenständigen ESXi-Hosts, die AD beigetreten sind, kann jeder Administrator auf zwischengespeicherte Anmeldeinformationen anderer Benutzer zugreifen, und die Rolle ESXi Admin ist funktional äquivalent zu Domain Admin, wenn Domain Controller-VMs auf dem Host ausgeführt werden.
vCenter Server bietet eine stärkere Authentifizierung durch SAML-Token-Isolierung und granulare rollenbasierte Zugriffskontrolle, jedoch nur, wenn es bewusst so konfiguriert ist, dass LDAPS- oder SPNEGO-Authentifizierung verwendet wird. Die Standard-AD-over-LDAP-Identitätsquelle reproduziert die schlimmste Anmeldeinformationen-Exposition auf Netzwerkschicht.
Dieser Bericht dokumentiert jede Schwachstelle mit Paketmitschnitten, Speicherabbildern und funktionalen Angriffsketten und gibt dann priorisierte Empfehlungen zur Härtung Ihrer vSphere AD-Integration.
In diesem Leitfaden erfahren Sie, wie Sie
- Ermitteln Sie, wo AD-Anmeldeinformationen in den Netzwerk-, Festplatten- und Speicherebenen in vSphere-Umgebungen offengelegt werden.
- Verstehen Sie, warum die eigenständige ESXi AD-Domänenbeitritt unlösbare architektonische Sicherheitslücken schafft.
- Konfigurieren Sie vCenter-Identitätsquellen, um die Übertragung von Klartext-Passwörtern mit LDAPS oder SPNEGO zu vermeiden.
- Schützen Sie die ESXi-Admin-Gruppe mit der gleichen Strenge wie die Domain Admins, da die AD-Gruppenmitgliedschaft den Root-Zugriff auf den Hypervisor direkt steuert.
- Verhindern Sie Kerberos-Downgrade-Angriffe, indem Sie auf ESXi- und vCenter-Computeraccounts ausschließlich AES-Verschlüsselung erzwingen.
- Beschränken Sie den ESXi-Administratorzugriff auf Hosts, die Domain Controller-VMs ausführen, um die Offline-Extraktion von ntds.dit und Snapshot-Rollback-Angriffe zu verhindern.
- Erkennen Sie Versuche des Diebstahls von Anmeldeinformationen durch Überwachung des DC-Ereignisses 2889 und Prüfung des Datei-Zugriffs.
Warum diesen Leitfaden herunterladen
- Erhalten Sie Einblick in Anmeldeinformationen-Flüsse, die die Standarddokumentation von vSphere nicht offenlegt.
- Verstehen Sie die Sicherheitskompromisse zwischen der eigenständigen ESXi-Verwaltung und vCenter-verwalteten Umgebungen.
- Implementieren Sie priorisierte Härtungsempfehlungen basierend auf getesteten Angriffsketten.
- Reduzieren Sie das Risiko einer Domainkompromittierung, indem Sie ESXi Admin-Berechtigungen mit entsprechender Sensibilität behandeln.
- Stärken Sie die Verfahren zur Vorfallreaktion durch Zertifikatswiderruf neben Passwortzurücksetzungen.
Teilen auf