Interne Recon: Vom Drucker zur Domäne
In einem internen Pentest sollten wir die Auswirkungen eines physischen Zugangs in einer Niederlassung untersuchen. Dazu platzierten wir einen unauffällig präparierten Raspberry Pi mit LTE-Modul direkt hinter einem Netzwerkdrucker. Der Pi war als Low-Profile-Angreifer konfiguriert und wurde gezielt so manipuliert, dass er sich per MAC-Spoofing als Netzwerkdrucker ausgab. Dadurch konnte er Network Access Control (NAC) umgehen und Zugang zum internen LAN erhalten – ganz ohne Benutzerkonto oder Authentifizierung. Eine saubere Netzwerksegmentierung und restriktive Portkontrolle hätten diesen Angriffsvektor zuverlässig unterbinden können.
Kein Benutzer, kein Problem
Normalerweise ist es schwer, ohne gültige AD-Credentials nützliche Informationen zu sammeln. Doch in diesem Fall machte uns eine klassische Fehlkonfiguration das Leben leicht: Unauthentifizierte Systeme wurden automatisch der Gruppe "Pre-Windows 2000 Compatible Access" hinzugefügt. Diese Einstellung gewährt jedem Netzwerkgerät lesenden Zugriff auf bestimmte AD-Informationen über LDAP – auch ohne Authentifizierung. Microsoft weist ausdrücklich darauf hin, dass diese Konfiguration ein Sicherheitsrisiko darstellt und nur in Ausnahmefällen erforderlich ist.
LDAP: Die Schatzkammer
Mit ldapsearch und der Toolchain von Impacket führten wir gezielte Queries durch:
- Benutzerobjekte mit Beschreibung:
(objectClass=user) - Felder:
displayName, sAMAccountName, description - Suche nach Keywords wie
pass, pwd, login
Der Jackpot: Ein Account mit einem verdächtig aussehenden Eintrag im description-Attribut:
sAMAccountName: backup_app
Description: Passwort für Dienst: Welcome123!
Hinweis: Die obigen Werte sind frei erfunden, spiegeln jedoch die tatsächliche Komplexität und Art der gefundenen Informationen wider.
Credential Validation & Lateral Movement
Mit CrackMapExec bestätigten wir, dass die Credentials gültig waren – und dass der Benutzer auf mehreren Servern Zugriff hatte. Innerhalb von Minuten konnten wir uns lateral in der Umgebung bewegen, interne Shares auslesen und sogar einen Domain-Admin erreichen – über einen Dienst, bei dem der gefundene Benutzer lokale Adminrechte hatte.
Lessons Learned
- Physische Sicherheit ist die Basis – Druckerports sind keine toten Zonen.
- Die Gruppe "Pre-Windows 2000" sollte deaktiviert oder hart eingeschränkt werden.
- LDAP-Exfiltration funktioniert auch ohne Anmeldung – mit fatalen Folgen.
- Vermeidet Passwörter in Klartextfeldern. Immer.
Dieser Test zeigt, wie wenig es braucht, um tief in ein Netzwerk einzudringen – ein kleiner Pi, ein offener Druckerport und eine nachlässige Voreinstellung reichten.
🔐 Möchten Sie wissen, wie Ihr Netzwerk auf interne Angriffe reagiert?
Unser interner Pentest-Service deckt genau solche Szenarien ab – diskret, realistisch und effektiv.
Jetzt Pentest anfragen