Verstehen der Extraktion von Klartext-Passwörtern: Wie es funktioniert und wie man es stoppt

Glossar zur cybersicherheit Angriffskatalog

Verstehen der Extraktion von Klartext-Passwörtern

Die Extraktion von Klartext-Passwörtern ist das Abrufen von Anmeldeinformationen in lesbarer Form aus falsch konfigurierten Systemen, dem Speicher oder unsicherer Speicherung. Ein wichtiger Vektor sind Group Policy Preferences, bei denen XML-Dateien in SYSVOL historisch verschlüsselte Passwörter speicherten, die mit einem öffentlich bekannten AES-Schlüssel entschlüsselt werden können. Werkzeuge wie PowerSploit's Get-GPPPassword automatisieren die Extraktion. Angreifer verwenden die wiederhergestellten Anmeldeinformationen für laterale Bewegungen und Privilegienerweiterungen. Die Verteidigung erfordert das Entfernen von GPP-Passwörtern, den Einsatz von LAPS, die Durchsetzung von MFA und die Prüfung von SYSVOL auf verbleibende Anmeldeinformationsartefakte.

Attribute	Details
Attack type	Plaintext password extraction
Impact level	High / Critical (domain compromise possible)
Target	Active Directory environments (via Group Policy Preferences)
Primary attack vector	Insecure credential storage in Group Policy XML files (SYSVOL), LSASS dumping
Motivation	Credential theft, lateral movement, persistence, privilege escalation
Common prevention methods	Remove embedded GPP passwords, use Microsoft LAPS, patch Windows Server, apply PAM, enforce MFA

Risk factor	Level
Potential damage	Critical
Ease of execution	Medium–High
Likelihood	High

Risk factor

Level

Potential damage

Critical

Ease of execution

Medium–High

Likelihood

High

Könnten veraltete GPP-Dateien in Ihrer Umgebung heimlich Anmeldedaten preisgeben?

Sprechen Sie mit unseren Experten über das Entfernen von Klartextpasswörtern aus SYSVOL, das Härtung von AD-Konfigurationen und die Erkennung von Credential Harvesting, bevor es eskaliert.

Was ist die Extraktion von Klartext-Passwörtern?

Die Extraktion von Klartext-Passwörtern ist der Prozess, bei dem ein Angreifer Kontodaten in ihrer ursprünglichen, lesbaren Form erhält, also den tatsächlichen Benutzername/Passwort-Text statt eines Hashs oder Tokens. Im Gegensatz zu Techniken zum Sammeln von Anmeldeinformationen, die verschlüsselte Blobs oder Einmal-Token erfassen, liefert die Klartext-Extraktion direkte Passwörter, die nicht geknackt werden müssen; daher ermöglichen sie sofortigen Zugriff. Dies verkürzt die Zeit zwischen Kompromittierung und Auswirkung, da Klartext-Passwörter schnell verwendet werden können, um:

Authentifizieren Sie sich als Kontoinhaber und melden Sie sich bei Diensten und Systemen an.
Umgehen Sie die Ein-Faktor-Authentifizierung und viele veraltete Kontrollen.
Von einem zunächst kompromittierten Host zu sensibleren Systemen pivotieren.
Sammeln Sie zusätzliche Anmeldeinformationen aus Postfächern, Konfigurationsdateien und Sicherungsspeichern, sobald Sie angemeldet sind.
Verwenden Sie gesammelte Anmeldeinformationen (wie lokale Administrator- und höher privilegierte Dienstkonten), um eine bessere Kontrolle über Hosts, Dienste und Domänenressourcen zu erlangen.

Häufige Quellen für Klartext-Anmeldeinformationen

Klartext-Passwörter finden sich dort, wo Systeme und Administratoren sie aus Bequemlichkeit speichern oder wo Software sie unbeabsichtigt preisgibt. Quellen sind unter anderem:

LSASS-Speicher: Einige Windows-Dienste und -Anwendungen laden Anmeldeinformationen während der Ausführung in den LSASS-Prozessspeicher, wo Klartextgeheimnisse im RAM lesbar bleiben können.
Registrierung: Anwendungen und Installer schreiben manchmal Anmeldeinformationen in Windows-Registrierungsschlüssel.
Anwendungskonfigurationsdateien: Konfigurationsdateien (zum Beispiel appsettings.json, config.xml, .env) enthalten häufig fest codierte API-Schlüssel, Datenbankpasswörter und Dienstanmeldeinformationen im Klartext, damit Dienste automatisch gestartet werden können.
Anwendungsdatenbanken: Datenbanken speichern gelegentlich Verbindungszeichenfolgen und Dienstanmeldeinformationen im Klartext in Konfigurationstabellen, insbesondere in Legacy- und benutzerdefinierten Anwendungen.
CI/CD-Pipelines: Build- und Deployment-Pipelines können Anmeldeinformationen durch fest codierte Variablen, Pipeline-Protokolle und ungesicherte Artefakt-Repositories offenlegen, wenn Geheimnisse nicht richtig verwaltet werden.
Browser-Speicher: Passwörter, die in Browsern oder schwach geschützten Passwortmanagern gespeichert sind, können extrahiert werden, wenn ein System kompromittiert wird.
Cloud-Geheimnisse und API-Schlüssel: Cloud-Dienste und Entwicklungsumgebungen leaken manchmal Anmeldeinformationen, die im Klartext in Umgebungsvariablen, IaC-Vorlagen und ungeschützten Geheimnisspeichern gespeichert sind.
Unsichere Textdateien: Administratoren und andere Benutzer speichern Passwörter manchmal in Klartextnotizen, Tabellenkalkulationen oder .txt-Dateien auf gemeinsamen Laufwerken oder in der Cloud.
Backups und Snapshots: Backups von Systemen, die Klartext-Anmeldedaten enthielten, werden zu einer weiteren Quelle, wenn sie nicht ordnungsgemäß verschlüsselt sind.
Protokolle: Fehlkonfigurierte Protokollierung kann Benutzernamen und Passwörter im Klartext erfassen.

Der Fall der Gruppenrichtlinienpräferenzen

GPP ist ein häufig zitiertes Praxisbeispiel für im Klartext exponierte Anmeldedaten. GPP ermöglichte Administratoren, lokale Konten, geplante Aufgaben, Laufwerkszuordnungen und andere Einstellungen zentral über XML-Dateien zu konfigurieren, die im SYSVOL-Freigabeordner gespeichert sind. GPP unterstützte auch das Einbetten von Anmeldedaten in diese XML-Dateien. Diese eingebetteten Passwörter wurden mit einem statischen AES-Schlüssel verschlüsselt, der in Microsofts eigener MSDN-Dokumentation veröffentlicht wurde. Dieser Schlüssel wurde 2012 weithin bekannt, was die Entschlüsselung mit Tools wie PowerSploit’s Get-GPPPassword. Das bedeutete, dass:

Jeder authentifizierte Domänenbenutzer konnte die XML-Dateien in SYSVOL lesen.
Der statische, öffentlich dokumentierte Verschlüsselungsschlüssel machte diese gespeicherten Passwörter für jedermann wiederherstellbar.
Infolgedessen hatten viele Umgebungen Passwörter von lokalen Konten mit hohen Berechtigungen, die für jeden Domänenbenutzer zugänglich waren, was ein Risiko für laterale Bewegungen darstellte.

Im Jahr 2014 veröffentlichte Microsoft das Sicherheitsbulletin MS14-025, um die Erstellung neuer GPP-Richtlinien mit eingebetteten Passwörtern zu verhindern, entfernt jedoch keine bestehenden. Diese müssen manuell von Administratoren entfernt werden. Infolgedessen kann jeder Domänenbenutzer mit Basiszugriff diese Schwachstelle ausnutzen, wenn alte GPP-Dateien verbleiben.

Wie funktioniert die Extraktion von Klartext-Passwörtern?

Die Extraktion von Klartext-Passwörtern folgt einem standardmäßigen Lebenszyklus: Fuß fassen, entdecken, wo Geheimnisse gespeichert sind, nutzbare Anmeldeinformationen extrahieren, diese Anmeldeinformationen wiederverwenden, um den Zugriff zu erweitern, und dann zu höheren Privilegien und persistentem Zugriff eskalieren. Der GPP-Fall ist ein klares Beispiel dafür, wie eine Komfortfunktion (zentrale Speicherung von einsatzbereiten Anmeldeinformationen) eine unternehmensweite Schwachstelle schaffen kann, die Angreifer ausnutzen können.

Erstzugriff

Angreifer verschaffen sich zunächst einen Zugang zum Netzwerk über gängige Vektoren wie Phishing, kompromittierten Konto-Zugriff, bösartige Anhänge und verwundbare öffentlich zugängliche Dienste.

Erkennung

Mit Zugriff auf einen Host in der Zielumgebung führen Angreifer eine Erkundung durch, um herauszufinden, wo Anmeldeinformationen gespeichert oder bereitgestellt werden. In Active Directory (AD)-Umgebungen sind SYSVOL und andere zentral replizierte Konfigurationsspeicher attraktive Ziele, da sie XML- und andere Dateien enthalten, die zur Bereitstellung von Einstellungen auf vielen Computern verwendet werden. Die XML-Dateien von GPP enthielten historisch eingebettete Anmeldeinformationen, die für die automatisierte Bereitstellung vorgesehen waren; diese Dateien waren in vielen Standardkonfigurationen für jeden authentifizierten Benutzer lesbar, was zu einer Exposition führte.

Extraktion

Extraktion bezieht sich auf die Aktivität, gespeicherte Klartext- oder schwach geschützte Geheimnisse aus Konfigurationsdateien, Registern, Speicher und Backups abzurufen und in verwendbare Anmeldeinformationen umzuwandeln. Im GPP-Beispiel konnten Angreifer die tatsächlichen Passwörter schnell wiederherstellen, da sie mit einem statischen Schlüssel verschlüsselt waren, den Microsoft öffentlich gemacht hatte. Allgemein kann die Extraktion das Lesen von Dateien, das Parsen von Konfigurationsformaten (wie XML-, JSON- und INI-Dateien) und die Analyse von Speicherartefakten umfassen, bei denen eine Anwendung Geheimnisse im Klartext hinterlassen hat.

Angreifer verwenden häufig automatisierte Tools, um GPP-Passwörter zu extrahieren und zu entschlüsseln:

Das PowerSploit-Get-GPPPassword-Cmdlet: Ein PowerShell-basiertes Tool, das SYSVOL nach XML-Dateien mit dem Attribut cpassword durchsucht und diese automatisch mit dem bekannten AES-Schlüssel entschlüsselt.
- Import-Module PowerSploit Get-GPPPassword
Metasploit-Modul (post/windows/gather/credentials/gpp): Führt dieselbe Funktion im Metasploit-Framework aus, wodurch es Angreifern leicht gemacht wird, alle gespeicherten GPP-Passwörter mit einem einzigen Befehl aufzulisten und zu entschlüsseln.

Diese Werkzeuge reduzieren den gesamten Angriff auf einen Einzeiler und zeigen, wie ein Designfehler in Kombination mit Werkzeugen eine Schwachstelle in ein weit verbreitetes Risiko verwandeln kann.

Wiederverwenden

Sobald Angreifer Klartext-Anmeldeinformationen erhalten (zum Beispiel ein lokales Administratorpasswort oder ein Geheimnis eines Dienstkontos), versuchen sie, diese über Hosts und Dienste hinweg wiederzuverwenden. Die Wiederverwendung von Anmeldeinformationen ermöglicht laterale Bewegungen, bei denen sich der Angreifer an weiteren Maschinen authentifiziert, auf Verwaltungskonsolen zugreift und Datenspeicher entsperrt.

Eskalation

Mit lateralem Zugriff versuchen Angreifer, ihre Privilegien zu erhöhen. Zum Beispiel durch den Wechsel von einem lokalen Administrator zu Domänenprivilegien oder von einem App-Konto zu einem Dienstkonto, das auf sensible Daten zugreifen kann. Angreifer können auch den LSASS-Speicher auslesen, um zusätzliche Anmeldeinformationen aus laufenden Prozessen und Caches im Rahmen der Privilegienerweiterung und Persistenz zu sammeln.

Angriffsablaufdiagramm

Sehen wir uns einen visuellen Ablauf der Extraktion von Klartext-Passwörtern an sowie eine Beispielgeschichte aus der Perspektive einer Organisation, die zeigt, wie der Angriff mit einem kompromittierten Benutzerkonto beginnt und sich zu einer bedrohlichen Situation im gesamten Domänenbereich entwickelt.

Angriffsablauf (allgemein)

Angriffsablauf (GPP-Perspektive)

Ein Bedrohungsakteur, der den Laptop eines Helpdesk-Mitarbeiters kompromittiert, führt Get-GPPPassword innerhalb von Minuten nach dem Zugriff aus. SYSVOL liefert eine groups.xml-Datei aus dem Jahr 2013, die noch aktiv ist und ein lokales Administratorpasswort enthält, das auf allen Servern der Organisation geteilt wird. Am nächsten Morgen hat der Angreifer den Dateiserver erreicht, auf die Backup-Infrastruktur zugegriffen und einen Fuß in die Tür eines Domänencontrollers gesetzt.

Beispiele für die Extraktion von Klartext-Passwörtern

Die Extraktion von Klartext-Passwörtern wurde in mehreren Sicherheitsverletzungen ausgenutzt. Diese realen Fälle zeigen, wie ungesicherte Anmeldeinformationen zu weitreichenden Kompromittierungen führen können.

Case	Impact
BlackCat / ALPHV (2023)	In 2023, BlackCat/ALPHV operators were observed using a utility (Munchkin) that included a `Get-GPPPassword.py` script to enumerate SYSVOL, recover GPP XML files, and extract embedded passwords in plaintext. This shows how stored, weakly protected credentials can be harvested and used for lateral movement (even years after Microsoft patched the vulnerability in 2014).
Marriott international breach (2018)	Attackers maintained long-term persistence in Marriott's Starwood guest reservation system for approximately four years (2014-2018) before discovery. The breach, attributed to a sophisticated APT group, exposed personal and passport details of approximately 339 million guests. Investigations revealed that attackers used Mimikatz to harvest credentials from memory and gain administrator privileges. Weak password hygiene and the absence of MFA on critical accounts made it easier for the attackers to escalate privileges and remain undetected for years.
SolarWinds Orion supply chain attack (2020)	Although the initial breach vector was the insertion of malicious code into Orion software updates, forensic investigations revealed that the attackers also exploited plaintext credentials stored in scripts, configuration files, and automation systems within affected networks. These exposed credentials enabled lateral movement, privilege escalation, and further compromise of sensitive systems, affecting approximately 18,000 customers, including multiple US government agencies.

Folgen der Extraktion von Klartext-Passwörtern

Wenn Angreifer erfolgreich Klartext-Passwörter extrahieren, können die Folgen weitreichend sein. Da Klartext-Anmeldeinformationen die genauen Benutzerpasswörter offenbaren, gewähren sie sofortigen, uneingeschränkten Zugriff auf Konten und Systeme. Der Schaden betrifft die finanzielle Stabilität, den Betrieb, den Ruf und die rechtliche Stellung.

Impact area	Description
Financial	Attackers can use stolen credentials to commit fraud, initiate unauthorized transactions, and even deploy ransomware within the network. Recovery costs, ransom payments, forensic investigations, and compensation for affected customers can lead to significant financial losses.
Operational	Plaintext credentials can enable lateral movement across servers and critical infrastructure, resulting in domain-wide disruptions, system lockouts, and halted business operations. Attackers can escalate privileges to gain control over core IT systems.
Reputational	Public disclosure of leaked passwords can erode customer and partner trust, especially when the breach exposes sensitive accounts and executive credentials. Organizations can face long-term brand damage and customer churn.
Legal/regulatory	Data exposure involving compromised accounts can violate privacy laws such as GDPR, HIPAA, and PCI DSS. Organizations may face regulatory fines, lawsuits, and increased scrutiny for failing to protect authentication data.

Häufige Ziele einer Klartext-Passwortextraktion: Wer ist gefährdet?

Angriffe zur Extraktion von Klartext-Passwörtern konzentrieren sich auf Systeme und Konten, die Authentifizierungsdaten in klarer oder wiederherstellbarer Form speichern, verarbeiten oder verwalten. Sowohl große Unternehmen als auch kleinere Organisationen sind verwundbar, wenn grundlegende Sicherheitsmaßnahmen vernachlässigt werden. Einige häufige Ziele sind:

Active Directory-Umgebungen

Active Directory ist ein Hauptziel, da es die Authentifizierung in Unternehmensnetzwerken verwaltet. Angreifer können Klartext-Anmeldeinformationen aus mehreren Quellen extrahieren (einschließlich Systemspeicher, zwischengespeicherte Anmeldeinformationsspeicher, Konfigurationsdateien und Registrierungshives), um mehrere Konten innerhalb der Domäne zu kompromittieren.

Domänencontroller und Windows-Server

Diese Systeme speichern zwischengespeicherte Anmeldeinformationen und Authentifizierungstoken. Wenn sie kompromittiert werden, können sie Klartext-Passwörter und Hashes offenlegen, die es Angreifern ermöglichen, sich lateral im Netzwerk zu bewegen.

Privilegierte Konten

Administratorkonten, Dienstkonten und Domänenadministratorkonten sind hochrangige Ziele. Sobald Angreifer Klartext-Passwörter erhalten, können sie uneingeschränkten Zugriff auf kritische Infrastrukturen und sensible Daten erlangen.

Falsch konfigurierte Systeme und Anwendungen

Schlecht gesicherte Dienste, Legacy-Anwendungen und Systeme mit schwacher Verschlüsselung speichern häufig Anmeldeinformationen im Klartext in Konfigurationsdateien, Datenbanken und Protokolldateien. Diese Speicherorte ermöglichen es Angreifern, Passwörter leicht zu finden und zu extrahieren, ohne Alarme auszulösen.

Kleine und mittlere Unternehmen (KMU)

KMU sind häufige Opfer, da sie über begrenzte Sicherheitsbudgets und schwächere Praktiken im Umgang mit Anmeldeinformationen verfügen. Angreifer nutzen veraltete Systeme und ungepatchte Schwachstellen aus, um Klartext-Passwörter zu ernten.

Risikobewertung

Durch die Bewertung des Risikoniveaus bei der Extraktion von Klartext-Passwörtern können Organisationen deren Schweregrad verstehen und die Abwehrmaßnahmen entsprechend steuern.

Risk factor	Level
Potential damage	Critical Exposed plaintext passwords give attackers immediate, unrestricted access to systems, accounts, and data. This can lead to full domain compromise, ransomware deployment, and large-scale breaches.
Ease of execution	Medium-High The difficulty depends on system defenses. Tools like Mimikatz and LaZagne make plaintext password extraction relatively straightforward once attackers gain local or administrative access. However, reaching that point requires initial compromise, so it is not trivial.
Likelihood	High Many organizations still have systems that cache or store credentials insecurely (in memory, config files, and databases). Combined with privilege escalation and credential-dumping tactics in modern attacks, the likelihood remains high.

Risk factor

Level

Potential damage

Critical
Exposed plaintext passwords give attackers immediate, unrestricted access to systems, accounts, and data. This can lead to full domain compromise, ransomware deployment, and large-scale breaches.

Ease of execution

Medium-High
The difficulty depends on system defenses. Tools like Mimikatz and LaZagne make plaintext password extraction relatively straightforward once attackers gain local or administrative access. However, reaching that point requires initial compromise, so it is not trivial.

Likelihood

High
Many organizations still have systems that cache or store credentials insecurely (in memory, config files, and databases). Combined with privilege escalation and credential-dumping tactics in modern attacks, the likelihood remains high.

Wie man die Extraktion von Klartext-Passwörtern verhindert

Um die Extraktion von Klartext-Passwörtern zu verhindern, müssen Organisationen einfache Quellen von Zugangsdaten entfernen, Konto- und Hostkonfigurationen absichern und kompensatorische Kontrollen einführen, um die Fähigkeit eines Angreifers einzuschränken, gefundene Zugangsdaten erneut zu verwenden.

Eingebettete GPP-Passwörter aus SYSVOL entfernen

Group Policy Preferences erlaubten Administratoren historisch gesehen, lokale Kontenanmeldeinformationen bereitzustellen, die in SYSVOL innerhalb von XML-Richtliniendateien als Werte des Attributs cpassword gespeichert wurden. Diese cpassword Einträge sind leicht umkehrbar, was bedeutet, dass jeder, der Zugriff auf die XML-Datei erhält, den Wert entschlüsseln und das Klartextpasswort wiederherstellen kann. Aus diesem Grund sollten alle in GPP gespeicherten Passwörter sofort entfernt werden.

Identifizieren Sie alle GPP XML-Dateien in \\<domain>\SYSVOL\ die cpassword enthalten.
Entfernen oder ersetzen Sie die auf GPP basierende lokale Kontobereitstellung vollständig und migrieren Sie die Kontoverwaltung zu sichereren Mechanismen, wie der Local Administrator Password Solution (LAPS) von Microsoft.
Nach der Entfernung dokumentieren Sie die Änderung und überprüfen die Replikation auf alle Domänencontroller.

Schneller Erkennungstipp (PowerShell):

Get-ChildItem -Recurse '\\<domain>\SYSVOL' -Include *.xml |

Select-String -Pattern 'cpassword' -SimpleMatch

Verwenden Sie Microsofts LAPS zur Verwaltung des lokalen Administratorkontos

LAPS verwaltet zentral eindeutige, zufällig generierte lokale Administratorpasswörter pro Maschine und speichert diese sicher in Active Directory-Attributen mit ACL-Schutz. Durch die Verwendung von LAPS entfällt die Notwendigkeit, gemeinsam genutzte lokale Admin-Passwörter im Klartext zu speichern. Organisationen sollten:

Setzen Sie LAPS-Agenten/-Richtlinien ein, damit jeder Host ein eindeutiges, regelmäßig wechselndes lokales Administratorpasswort hat.
Beschränken Sie, wer LAPS-verwaltete Passwortattribute mit AD ACLs lesen kann, und überwachen Sie den Zugriff auf diese Attribute.
Integrieren Sie LAPS in Onboarding-/Offboarding- und Dokumentationsprozesse, damit Mitarbeiter es anstelle von fest codierten Anmeldeinformationen verwenden.

Halten Sie Windows Server gepatcht und auf dem neuesten Stand

Halten Sie alle Domänencontroller, Server und Endpunkte mit den neuesten Sicherheitspatches auf dem aktuellen Stand. Das Anwenden dieser Updates hilft, das Einbetten neuer Passwörter an unsicheren Stellen zu verhindern und mindert Legacy-Schwachstellen, die Anmeldeinformationen offenlegen könnten.

Testen und wenden Sie regelmäßig Sicherheits- und Funktionsupdates an.
Priorisieren Sie Patches, die Authentifizierungs-, Active Directory- und Speicherverwaltungs-Schwachstellen beheben.
Führen Sie ein Inventar der unterstützten Betriebssystemversionen und stilllegen Sie veraltete Systeme, die keine Sicherheitsupdates mehr erhalten.

Speichern Sie keine Klartext-Passwörter in Skripten und Konfigurationen

Im Klartext gespeicherte Anmeldedaten in Skripten, Konfigurationsdateien und Automatisierungspipelines sind ein leichtes Ziel für Angreifer. Entfernen Sie diese und ersetzen Sie sie durch sichere Alternativen.

Verwenden Sie Secret Manager (Vaults) oder plattformnative Secret Stores (zum Beispiel Azure Key Vault, AWS Secrets Manager).
Wenn sich Code authentifizieren muss, verwenden Sie managed identities, service principals mit kurzlebigen Tokens oder zertifikatbasierte Authentifizierung anstelle von eingebetteten Passwörtern.
Drehen Sie Geheimnisse regelmäßig und scannen Sie Quell-Repositorys (einschließlich CI/CD-Protokolle und Artefaktspeicher) auf versehentliche Offenlegung.

MFA- und Privileged Access Management-Lösungen durchsetzen

Multi-Faktor-Authentifizierung (MFA) und Privileged Access Management (PAM) verringern die Auswirkungen gestohlener Zugangsdaten und begrenzen privilegierte Sitzungen.

Erfordern Sie MFA für interaktive Anmeldungen, Fernzugriff und sensible Administratoraufgaben.
Setzen Sie Privileged Access Management/erhöhtes Zugriffsmanagement ein, um Administratoren und Dritten eine Just-in-Time- und zeitlich begrenzte Erhöhung zu ermöglichen.
Protokollieren und überwachen Sie MFA-Fehler, Erhöhungsanfragen und Aktivitäten privilegierter Sitzungen.

Führen Sie Domänenprüfungen für cpassword-Werte in SYSVOL durch

Regelmäßige Prüfungen können helfen, Fehlkonfigurationen zu finden, daher sollten sie Teil der standardmäßigen Sicherheitshygiene sein.

Planen Sie automatisierte Scans von SYSVOL und anderen gängigen Speicherorten nach cpassword und anderen Anmeldeinformationen.
Fügen Sie Prüfungen für Klartext-Anmeldeinformationen in Konfigurationsdateien, Skripten und Anwendungsdatenbanken ein.
Erfassen Sie alle befundbezogenen Erkenntnisse zu Anmeldeinformationen in Ihrem Ticket- oder Patch-Management-System, verfolgen Sie behobene Befunde nach und führen Sie eine Audit-Trail aller Suchvorgänge und Korrekturen. Dies hilft sicherzustellen, dass Schwachstellen behoben werden. Es liefert auch Dokumentation für zukünftige Sicherheitsüberprüfungen.

Wie Netwrix helfen kann

Im Kontext des Risikos der Klartext-Passwortextraktion können Organisationen spezialisierte Lösungen implementieren, um die Exposition zu verringern, Angriffsversuche frühzeitig zu erkennen und Schwachstellen in der Umgebung zu beheben. Netwrix bietet eine Suite von Tools, die mit diesen Zielen übereinstimmen.

Netwrix Privilege Secure

Privilege Secure entfernt dauerhaft vorhandene privilegierte Konten und erzwingt Just-in-Time-Privilegien, wodurch die Angriffsfläche, die durch statische Administratoranmeldeinformationen entsteht, reduziert wird. Es bietet umfassende Sitzungsüberwachung und -aufzeichnung und unterstützt den Zugriff mit minimalen Rechten auf Servern und Endpunkten.

Durch die Integration mit LAPS und die Unterstützung von Credential Vaulting hilft Privilege Secure, gemeinsam genutzte lokale Administratoranmeldeinformationen zu ersetzen, die eine häufige Quelle für Risiken durch Klartextpasswörter sind. Die Lösung automatisiert außerdem die Erstellung/Löschung privilegierter Konten für jede Sitzung und erzwingt MFA, um die privilegierten Zugriffskontrollen weiter zu stärken.

Netwrix Threat Manager

Threat Manager ist für die Echtzeit-Erkennung und -Reaktion auf identitätsbasierte, privilegienbasierte und Dateisystem-Bedrohungen in Umgebungen wie Active Directory und hybriden Clouds konzipiert. Es verfolgt anormale Authentifizierungsmuster, Missbrauch von Anmeldeinformationen und verdächtige Aktivitäten, wie Versuche, SYSVOL zu lesen und die Verwendung von Get-GPPPassword. Es kann auch Warnungen und automatisierte Reaktionen auslösen, wenn ein Angreifer versucht, Klartext-Anmeldeinformationen auszunutzen oder sich lateral im Netzwerk zu bewegen.

Netwrix Access Analyzer

Mit Access Analyzer können Organisationen Einblick in Berechtigungen, Zugriffsrechte, veraltete Fehlkonfigurationen (wie verbleibende GPP-Anmeldeinformationen) und riskanten Datenzugriff auf lokalen und Cloud-Ressourcen erhalten. Dies hilft, riskante Fehlkonfigurationen von Active Directory und Group Policy Object (GPO) aufzudecken, einschließlich veralteter Group Policy Preferences mit eingebetteten Passwörtern. Durch das Erkennen und Priorisieren dieser Probleme ermöglicht Access Analyzer eine proaktive Behebung der Bedingungen, unter denen Klartext-Anmeldeinformationen existieren können.

Beseitigen Sie die dauerhaften Anmeldeinformationen, die die Extraktion von Klartext-Passwörtern mit Netwrix Privilege Secure ermöglichen. Laden Sie die kostenlose Testversion herunter.

Erkennungs-, Minderungs- und Reaktionsstrategien

Für einen effektiven Schutz vor der Extraktion von Klartext-Passwörtern müssen Organisationen eine Strategie entwickeln, die sich auf frühzeitige Erkennung, proaktive Minderung und schnelle Reaktion konzentriert.

Erkennung

Die Früherkennung hängt davon ab, ungewöhnliche Authentifizierungsmuster und Dateizugriffsverhalten zu identifizieren, die auf Aktivitäten zum Sammeln von Zugangsdaten hinweisen. Sicherheitsteams sollten:

Überwachen Sie die Auflistung von SYSVOL-Freigaben. Angreifer durchsuchen häufig diese freigegebenen Ordner, um XML-Dateien mit eingebetteten Anmeldeinformationen (cpassword Einträge) und Konfigurationsdaten zu finden.
Erkennen Sie verdächtige Verwendung von PowerShell-Befehlen wie Get-GPPPassword. Solche Befehle werden verwendet, um gespeicherte Passwörter aus Group Policy Preferences zu extrahieren.
Untersuchen Sie ungewöhnlichen Lesezugriff auf mehrere Group Policy XML-Dateien und Konfigurationsskripte. Wiederholter oder großflächiger Zugriff kann auf automatisierte Skripte oder Aufklärungsaktivitäten hinweisen.
Untersuchen Sie die Verwendung von Credential-Dumping-Tools, gefolgt von verdächtigen Authentifizierungsversuchen und Privilegieneskalation. Diese Abfolge zeigt oft, dass Angreifer Klartext- oder gehashte Credentials erlangt haben und versuchen, seitlich zu bewegen.

Minderung

Die Minderung konzentriert sich darauf, Angriffsflächen zu beseitigen und die Fähigkeit des Angreifers zu verringern, Klartext-Anmeldeinformationen auszunutzen.

Isolieren Sie kompromittierte Konten und Hosts sofort vom Netzwerk, um weitere laterale Bewegungen zu stoppen.
Überprüfen Sie SYSVOL und andere freigegebene Verzeichnisse auf eingebettete Passwörter und falsch konfigurierte GPP-Dateien. Setzen Sie anschließend alle in GPPs und Konfigurationsdateien entdeckten Anmeldeinformationen zurück, um eine Wiederverwendung zu verhindern.
Widerrufen Sie Persistenzmechanismen von Angreifern, wie unautorisierte Änderungen an AdminSDHolder-ACLs, geplante Aufgaben und Dienstkonten, die einen fortlaufenden Zugriff ermöglichen könnten.
Patchen Sie regelmäßig und beschränken Sie administrative Rechte, um die Angriffsfläche zu reduzieren und zukünftige Angriffe zu verhindern.

Antwort

Wenn Klartext-Passwörter offengelegt werden, sollte sich die Reaktionsphase darauf konzentrieren, alle Quellen von Anmeldeinformationslecks zu beseitigen und die Umgebung zu stärken.

Entfernen Sie GPP-eingebettete Anmeldeinformationen in der gesamten Umgebung, um veraltete Klartextpasswörter zu beseitigen, die in Group Policy Preferences gespeichert sind.
Setzen Sie Microsofts LAPS ein, um lokale Administratorenkonten sicher mit einzigartigen, rotierenden Passwörtern zu verwalten.
Härten Sie die Active Directory-Berechtigungen, um den Zugriff auf GPOs, Systemrichtlinien, administrative Gruppen und sensible Konfigurationsobjekte einzuschränken.
Aktivieren Sie Endpoint Detection and Response (EDR) und Security Information and Event Management (SIEM) Monitoring, um Credential Dumping-Aktivitäten und anormales Authentifizierungsverhalten in Echtzeit zu erkennen.
Schulen Sie Administratoren darin, Passwörter nicht in Group Policy Objects, Skripten und Konfigurationsdateien zu speichern, um sichere Betriebspraktiken zu stärken.

Branchenspezifische Auswirkungen

Die Auswirkungen der Extraktion von Klartextpasswörtern variieren je nach Branche, abhängig von der Art der verarbeiteten Daten und den betroffenen Systemen. In jedem Sektor können kompromittierte Zugangsdaten jedoch zu betrieblichen, finanziellen und reputationsbezogenen Schäden führen.

Industry	Impact
Healthcare	Attackers who obtain plaintext credentials can escalate privileges to compromise domain administrator accounts. This leads to unauthorized access to electronic health records (EHRs), medical devices, and internal systems. The result could be large-scale patient data exposure, service downtime, and costly regulatory penalties under HIPAA or similar privacy laws.
Finance	Stolen credentials can enable unauthorized access, empowering attackers to perform fraudulent wire transfers, alter financial records, and manipulate payment systems. Credential exposure can also lead to ransomware attacks or insider-style fraud, triggering service disruptions, compliance violations, reputational harm, and significant monetary losses.
Government	Compromised accounts within government networks can grant persistent access for espionage, data theft, and disruption of essential public services. Attackers can exploit privileged access to manipulate systems, steal classified data, and spread disinformation. This can undermine public trust and pose both operational and national security risks.

Industry

Impact

Healthcare

Attackers who obtain plaintext credentials can escalate privileges to compromise domain administrator accounts. This leads to unauthorized access to electronic health records (EHRs), medical devices, and internal systems. The result could be large-scale patient data exposure, service downtime, and costly regulatory penalties under HIPAA or similar privacy laws.

Finance

Stolen credentials can enable unauthorized access, empowering attackers to perform fraudulent wire transfers, alter financial records, and manipulate payment systems. Credential exposure can also lead to ransomware attacks or insider-style fraud, triggering service disruptions, compliance violations, reputational harm, and significant monetary losses.

Government

Compromised accounts within government networks can grant persistent access for espionage, data theft, and disruption of essential public services. Attackers can exploit privileged access to manipulate systems, steal classified data, and spread disinformation. This can undermine public trust and pose both operational and national security risks.

Entwicklung von Angriffen und zukünftige Trends

Techniken zur Extraktion von Klartext-Passwörtern haben sich als Reaktion auf stärkere Abwehrmaßnahmen und den Wandel zu hybriden IT-Umgebungen weiterentwickelt. Während das Grundprinzip des Diebstahls lesbarer Anmeldedaten gleich bleibt, erweitern sich die Methoden und Ziele, um menschliche Fehler, veraltete Konfigurationen und schlecht verwaltete Cloud-Anmeldeinformationen auszunutzen.

Alte GPP-Fehlkonfigurationen bleiben einfache Einstiegspunkte

Viele Organisationen haben noch veraltete Group Policy Preferences, die Anmeldeinformationen in reversiblen Formaten speichern. Angreifer durchsuchen nach dem ersten Zugriff routinemäßig SYSVOL und freigegebene Verzeichnisse nach diesen XML-Dateien. Sobald sie diese erhalten haben, gewähren die Anmeldeinformationen Administrator- oder Servicezugriff, was laterale Bewegungen und Persistenz ermöglicht. Diese Fehler entstehen durch manuelle Konfigurationsverwaltung, eingeschränkte Sichtbarkeit in großen Active Directory-Umgebungen und unzureichende AD-Härtungspraktiken.

Integration von Klartext-Extraktionsmodulen in Malware-Loader und Ransomware-Kits

Der Diebstahl von Anmeldeinformationen ist ein Standardmerkmal moderner Angriffswerkzeuge geworden. Malware-Familien wie Emotet, QakBot und TrickBot enthalten Module, die Speicher auslesen, Browser-Passwörter stehlen und Anmeldeinformationen aus Konfigurationsdateien extrahieren können. Ransomware-Gruppen verwenden diese gestohlenen Anmeldeinformationen, um vor der Verschlüsselung Zugriff auf Domänenebene zu erhalten. Dadurch können sie Berechtigungen erhöhen und Verteidigungen effizienter deaktivieren.

Ausweitung auf Cloud-Umgebungen

Angreifer zielen zunehmend auf falsch konfigurierte Cloud-Workloads, API-Schlüssel und Dienstkonten ab, die Anmeldeinformationen im Klartext oder an unsicheren Orten speichern. Der Diebstahl von Cloud-Anmeldeinformationen birgt ähnliche Risiken wie lokale Sicherheitsverletzungen, oft beginnend mit unsicheren Vorlagen und exponierten Umgebungsvariablen. Gestohlene Anmeldeinformationen ermöglichen es Angreifern, sich in einem einzigen Angriffspfad zwischen Cloud- und lokalen Umgebungen zu bewegen.

Zunehmende Nutzung von Living-off-the-land (LotL)-Techniken

Anstatt sich ausschließlich auf Malware zu verlassen, nutzen Bedrohungsakteure jetzt integrierte Tools wie PowerShell, WMI und certutil, um Anmeldeinformationen heimlich zu extrahieren oder darauf zuzugreifen. Dieser Trend ermöglicht es Angreifern, sich in normale Aktivitäten einzufügen, ihre Spuren zu minimieren, Antivirus-Warnungen zu umgehen, die Endpunkterkennung zu umgehen und über längere Zeiträume Zugriff zu behalten.

Wichtige Statistiken und Infografiken

Die folgenden Daten können Ihnen helfen, den Umfang und die Häufigkeit von anmeldebezogenen Angriffen zu verstehen.

Der 2025 Verizon Data Breach Investigations Report (DBIR) zeigt, dass 22 % der Sicherheitsverletzungen mit Missbrauch von Zugangsdaten begannen, wodurch gestohlene oder missbräuchlich verwendete Zugangsdaten der häufigste Einstiegspunkt in Systeme sind.
Der Bericht stellte außerdem fest, dass etwa 88 % der grundlegenden Webanwendungsangriffe gestohlene Anmeldeinformationen beinhalteten.
Das PowerShell Get‑GPPPassword-Skript wird sowohl von Red Teams als auch von Bedrohungsakteuren häufig verwendet. Werkzeuge und Dokumentationen führen es oft als Standardmethode zum Abrufen von Klartext-Passwörtern an, die in Group Policy Preferences (GPP) XML-Dateien unter dem SYSVOL-Share eingebettet sind. Da viele Organisationen noch alte GPP-Dateien und falsch konfigurierte Richtlinien haben, bietet dieses Tool Angreifern einen einfachen Weg zu lokalen und Domänen-Anmeldeinformationen.

Initiale Angriffsvektoren bei Datenverletzungen

Das folgende Kreisdiagramm basiert auf Daten des Verizon DBIR 2025. Es zeigt die anfänglichen Angriffsvektoren, die zu einer Datenpanne führten.

Wichtigste Erkenntnisse:

Gestohlene Anmeldedaten bleiben mit 22 % aller Verstöße der häufigste anfängliche Angriffsvektor.
Die Ausnutzung von Schwachstellen ist im Jahresvergleich um 34 % gestiegen und macht jetzt 20 % der Sicherheitsverletzungen aus.
Phishing macht 16 % der anfänglichen Angriffsvektoren aus.

Abschließende Gedanken

Die Extraktion von Klartext-Passwörtern bleibt eine der einfachsten Methoden, mit denen Angreifer sich in einem Netzwerk festsetzen. Die gute Nachricht ist, dass die meisten Schwachstellen vermeidbar sind. Organisationen sollten Identität als primären Perimeter betrachten. Sichern Sie die Konten, und Sie stoppen die Mehrheit der gängigen Angriffsketten. Beginnen Sie mit schnellen Erfolgen (SYSVOL prüfen, LAPS bereitstellen, MFA aktivieren) und integrieren Sie dann kontinuierliche Erkennung und Privileged-Access-Kontrollen in Ihre Abläufe, um Bedrohungen einen Schritt voraus zu sein.

FAQs

Was ist die Extraktion von Klartext-Passwörtern aus Group Policy Preferences?

Wie funktioniert Get-GPPPassword von PowerSploit?

Was ist die MITRE ATT&CK-Technik-ID für die Extraktion von Klartext-Passwörtern aus Group Policy Preferences?

Wie können Organisationen GPP-Passwörter in ihrer Umgebung erkennen?

Welche Maßnahmen empfiehlt Microsoft zur Minderung?

Teilen auf

Published: Jun 19, 2026

Darryl Baker

Senior Security Researcher

Darryl G. Baker ist Senior Staff Security Researcher bei Netwrix und eine anerkannte Autorität im Bereich Identity und Active Directory Sicherheit. Mit über einem Jahrzehnt Erfahrung in Identitätssystemen hat er Unternehmenssicherheitsbewertungen, Schulungen zur Identitätssicherheit und Bedrohungsimulationen mit Fokus auf Active Directory, Entra ID und Azure-Umgebungen geleitet. Darryl hat hoch bewertete Schulungen und Demos bei BlueTeamCon, BSidesCT, The Experts Conference und Wild Wild West Hackin’ Fest gehalten. Er ist der Architekt zahlreicher praxisorientierter Angriffsemulationslabore, die aktuelle Red-Team- und Blue-Team-Tools nutzen, um Verteidigern zu helfen, alles von Angriffspfadanalyse bis Bedrohungsjagd zu meistern. In seinen Sitzungen verbindet Darryl tiefgehende technische Einblicke mit realen Fallstudien und befähigt Blue-Team-Profis, ihre Identity-Sicherheitslage zu stärken und sich gegen sich entwickelnde Angreifertechniken zu verteidigen.

Zugehörige Cybersecurity-Angriffe anzeigen

Missbrauch von Entra ID-Anwendungsberechtigungen – Funktionsweise und Verteidigungsstrategien

AdminSDHolder-Modifikation – Funktionsweise und Verteidigungsstrategien

AS-REP Roasting Attack - Funktionsweise und Verteidigungsstrategien

Hafnium-Angriff - Funktionsweise und Verteidigungsstrategien

DCSync-Angriffe erklärt: Bedrohung für die Active Directory Security

gMSA-Ausnutzungsangriffe und Golden gMSA-Angriffe erklärt

Ultimativer Leitfaden zu Golden SAML-Angriffen

Verständnis von Golden Ticket-Angriffen

DCShadow-Angriff – Funktionsweise, Beispiele aus der Praxis & Verteidigungsstrategien

ChatGPT Prompt Injection: Risiken, Beispiele und Prävention verstehen

NTDS.dit-Extraktionsangriffe erklärt

Kerberoasting-Angriff – Funktionsweise und Verteidigungsstrategien

Verstehen von Pass-the-Hash (PtH)-Angriffen

Pass-the-Ticket-Attacke erklärt: Risiken, Beispiele & Verteidigungsstrategien

Verstehen von Password-Spraying-Angriffen

Zerologon-Schwachstelle erklärt: Risiken, Exploits und Milderung

Ein vollständiger Leitfaden zu Ransomware-Angriffen

Skeleton Key-Angriff: Wie er funktioniert und wie man ihn erkennt

Laterale Bewegungen: Was es ist, wie es funktioniert und Präventionsmaßnahmen

Man-in-the-Middle (MITM)-Angriffe: Was sie sind & Wie man sie verhindert

Warum ist PowerShell so beliebt bei Angreifern?

4 Angriffe auf Dienstkonten und wie man sich dagegen schützt

Wie Sie Malware-Angriffe daran hindern, Ihr Geschäft zu beeinträchtigen

Was ist Credential Stuffing?

Kompromittierung von SQL Server mit PowerUpSQL

Was sind Mousejacking-Angriffe und wie kann man sich dagegen verteidigen

Diebstahl von Anmeldeinformationen mit einem Security Support Provider (SSP)

Rainbow-Table-Attacken: Wie sie funktionieren und wie man sich dagegen verteidigt

Ein umfassender Blick auf Passwortangriffe und wie man sie stoppt

LDAP-Aufklärung

Umgehen der MFA mit dem Pass-the-Cookie-Angriff

Silver Ticket Attack