In einem internen Pentest sollten wir die Auswirkungen eines physischen Zugangs in einer Niederlassung untersuchen. Dazu platzierten wir einen unauffällig präparierten Raspberry Pi mit LTE-Modul direkt hinter einem Netzwerkdrucker. Der Pi war als Low-Profile-Angreifer konfiguriert und täuschte per MAC-Spoofing einen legitimen Drucker vor – und umging so die Network Access Control (NAC). Damit hatte er Zugriff auf das interne LAN, ganz ohne Benutzerkonto oder Authentifizierung. Eine saubere Netzwerksegmentierung und restriktive Portkontrolle hätten diesen Angriffsvektor zuverlässig verhindert.
Kein Benutzer, kein Problem
Normalerweise ist es schwierig, ohne gültige AD-Credentials verwertbare Informationen zu sammeln. Doch in diesem Fall erleichterte uns eine Fehlkonfiguration die Arbeit: Unauthentifizierte Systeme waren Teil der Gruppe „Pre-Windows 2000 Compatible Access“. Diese Gruppe gewährt jedem Netzwerkgerät lesenden Zugriff auf bestimmte AD-Informationen via LDAP – auch ohne Authentifizierung. Microsoft stuft diese Einstellung als Sicherheitsrisiko ein.
LDAP: Die Schatzkammer
Mit ldapsearch und der Toolchain von Impacket führten wir gezielte Queries durch:
- Benutzerobjekte mit Beschreibung:
(objectClass=user) - Attribute:
displayName, sAMAccountName, description - Suche nach Keywords wie
pass,pwd,login
Der Jackpot kam schneller als erwartet – ein Benutzer mit einem verdächtig ehrlichen Hinweis im description-Feld:
sAMAccountName: backup_app
Description: Passwort für Dienst: Welcome123!
(Beispieldaten, aber authentisch zur Art der realen Funde.)
Credential Validation & Lateral Movement
Mit CrackMapExec bestätigten wir die Gültigkeit der Credentials – und stellten fest, dass der Account auf mehreren Servern lokale Adminrechte hatte. Innerhalb weniger Minuten konnten wir uns lateral bewegen, interne Shares auslesen und über ein Backup-Skript schließlich Domain-Admin-Zugriff erreichen.
Lessons Learned
- Physische Sicherheit ist die Basis – Druckerports sind keine toten Zonen.
- Die Gruppe „Pre-Windows 2000“ sollte deaktiviert oder stark eingeschränkt werden.
- LDAP-Exfiltration ist auch ohne Anmeldung möglich – mit fatalen Folgen.
- Keine Passwörter im Klartext – niemals in Attributen oder Beschreibungen speichern.
Dieser Test zeigt eindrucksvoll, wie wenig es braucht, um tief in ein Netzwerk einzudringen: ein kleiner Pi, ein offener Port und eine übersehene Voreinstellung.
🔐 Wie widerstandsfähig ist Ihr Netzwerk?
Unser interner Pentest-Service deckt genau solche Szenarien ab – realistisch, diskret und effektiv.
Jetzt Pentest anfragen