Security

Microsoft Defender Predictive Shielding gegen AD-Angriffe

3 Min. Lesezeit

Zusammenfassung

Microsoft erläuterte, wie das Predictive Shielding in Defender die Kompromittierung von Active Directory-Domänen eindämmen kann, indem exponierte Konten mit hohen Rechten eingeschränkt werden, bevor Angreifer gestohlene Anmeldeinformationen erneut nutzen. Die Funktion hilft Sicherheitsteams, seitliche Bewegungen zu reduzieren und die Reaktionslücke bei schnellen Identitätsangriffen zu schließen.

Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einführung

Identitätsbasierte Angriffe können sich innerhalb weniger Stunden von einem einzelnen kompromittierten Server bis zur vollständigen Kontrolle über eine Active Directory-Domäne ausweiten. Microsofts aktuelle Sicherheitsforschung zeigt, wie Predictive Shielding in Microsoft Defender diesen Pfad unterbrechen kann, indem exponierte privilegierte Konten proaktiv eingeschränkt werden, bevor Angreifer gestohlene Anmeldeinformationen operationalisieren.

Für Sicherheitsteams ist das wichtig, weil herkömmliche Reaktionen oft erst beginnen, nachdem eine missbräuchliche Kontonutzung beobachtet wurde. Predictive Shielding verschiebt dieses Modell, indem auf wahrscheinliche Offenlegung von Anmeldeinformationen nahezu in Echtzeit reagiert wird.

Was ist neu

Microsoft hob eine reale Angriffskette auf den öffentlichen Sektor im Jahr 2025 hervor und erklärte, wie Predictive Shielding, jetzt Teil von automatic attack disruption in Microsoft Defender, das Ergebnis verändert.

Zu den wichtigsten Funktionen gehören:

  • Erkennen von Aktivitäten nach einer Kompromittierung, die mit Anmeldeinformationsdiebstahl auf einem Gerät verbunden sind
  • Bewerten, welche Identitäten mit hohen Rechten wahrscheinlich exponiert wurden
  • Anwenden von Just-in-Time-Einschränkungen, um den Missbrauch von Anmeldeinformationen und seitliche Bewegungen zu begrenzen
  • Reduzieren des Angreiferzugriffs auf sensible Identitätsvorgänge, während Incident Responder untersuchen

Die Forschung zeigte, wie sich Angreifer von einer IIS-Web-Shell über lokale Rechteausweitung, Credential Dumping mit Mimikatz und späteren Missbrauch von Domain Controller-Zugriff, Exchange-Delegierung und Impacket-Tools bewegten.

Wie Predictive Shielding hilft

In dem von Microsoft beschriebenen Vorfall gelangten Angreifer schnell vom Erstzugriff zu Operationen auf Domänenebene, darunter:

  • Dumping von LSASS, SAM und anderem Anmeldeinformationsmaterial
  • Erstellen geplanter Tasks auf einem Domain Controller
  • Zugriff auf NTDS-Daten für den Offline-Missbrauch von Anmeldeinformationen
  • Platzieren einer Web-Shell auf Exchange Server
  • Auflisten und Missbrauch von Mailbox-Delegierungsberechtigungen
  • Verwendung von Tools wie Impacket, PsExec und secretsdump für seitliche Bewegungen

Microsoft zufolge kann Predictive Shielding dieses Muster früher unterbrechen, indem Konten in dem Moment eingeschränkt werden, in dem sie wahrscheinlich exponiert sind, anstatt auf bestätigte bösartige Nutzung zu warten. Dieser Ansatz soll die "Geschwindigkeitslücke" zwischen Anmeldeinformationsdiebstahl und der Reaktion von Verteidigern schließen.

Auswirkungen auf IT-Administratoren

Für Verteidiger, die hybride Identitäten und lokales Active Directory verwalten, ist das von großer Bedeutung. Eine Domänenkompromittierung ist schwer einzudämmen, weil Administratoren Domain Controller oder zentrale Identitätsdienste nicht einfach abschalten können, ohne den Geschäftsbetrieb zu stören.

Predictive Shielding bietet SOC- und Identitätsteams eine weitere Ebene automatisierter Eindämmung, indem es:

  • Konten mit hohen Rechten bei Vorfällen von Anmeldeinformationsdiebstahl schützt
  • Seitliche Bewegungen von Angreifern über Server und Identitätsinfrastrukturen verlangsamt
  • Respondern Zeit für Behebungsmaßnahmen wie Passwortzurücksetzungen, ACL-Validierung und krbtgt-Rotation verschafft

Die Funktion ist als sofort einsatzbereite Erweiterung für Kunden von Microsoft Defender for Endpoint P2 verfügbar, die die Defender-Voraussetzungen erfüllen.

Nächste Schritte

Sicherheitsadministratoren sollten:

  • Die Einstellungen für Microsoft Defender automatic attack disruption überprüfen
  • Berechtigung und Voraussetzungen für Predictive Shielding bestätigen
  • Expositionspfade von IIS, Exchange und Domain Controllern härten
  • Privilegierte Identitäten und delegierte Berechtigungen auditieren
  • Incident-Response-Playbooks für Szenarien mit Domänenkompromittierung validieren

Die zentrale Erkenntnis ist klar: Proaktive Identitätseindämmung wird zunehmend unverzichtbar, um Active Directory-Umgebungen gegen moderne Techniken der seitlichen Bewegung zu verteidigen.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Defender Security Research Team lesen
Microsoft Defenderpredictive shieldingActive Directorylateral movementdomain compromise

Verwandte Beiträge

Security

Sapphire Sleet macOS-Angriff: Defender-Erkenntnisse

Microsoft Threat Intelligence hat eine auf macOS ausgerichtete Kampagne von Sapphire Sleet beschrieben, die Social Engineering und gefälschte Software-Updates statt der Ausnutzung von Schwachstellen nutzt. Die Angriffskette basiert auf von Nutzern initiierten AppleScript- und Terminal-Ausführungen, um native macOS-Schutzmechanismen zu umgehen. Dadurch werden mehrschichtige Abwehr, Benutzeraufklärung und Endpoint Detection besonders wichtig.

Security

Kryptografische Inventarisierung für Quantum Readiness

Microsoft fordert Unternehmen auf, die kryptografische Inventarisierung als ersten praktischen Schritt in Richtung Post-Quantum-Readiness zu behandeln. Das Unternehmen beschreibt einen kontinuierlichen Lifecycle für Cryptography Posture Management, der Security-Teams dabei hilft, kryptografische Risiken in Code, Netzwerken, Runtime und Storage zu erkennen, zu bewerten, zu priorisieren und zu beheben.

Security

KI-Incident-Response: Was Security-Teams ändern müssen

Microsoft erklärt, dass traditionelle Prinzipien der Incident Response auch für AI-Systeme weiter gelten, Teams jedoch nicht-deterministisches Verhalten, schnelleren Schaden im großen Maßstab und neue Risikokategorien berücksichtigen müssen. Das Unternehmen betont den Bedarf an besserer AI-Telemetrie, funktionsübergreifenden Reaktionsplänen und einer stufenweisen Behebung, um Probleme schnell einzudämmen, während langfristige Lösungen entwickelt werden.

Security

Agentic SOC von Microsoft: Zukunft der SecOps

Microsoft skizziert ein Modell des „agentic SOC“, das autonome Bedrohungsabwehr mit AI agents kombiniert, um Untersuchungen zu beschleunigen und Alert-Müdigkeit zu reduzieren. Der Ansatz soll Security Operations von reaktiver Incident Response hin zu schnellerer, anpassungsfähigerer Verteidigung verlagern und SOC-Teams mehr Zeit für strategische Risikoreduzierung und Governance geben.

Security

Storm-2755 Gehaltsangriffe auf kanadische Mitarbeiter

Microsoft hat eine finanziell motivierte Storm-2755-Kampagne beschrieben, die kanadische Mitarbeiter mit Angriffen zur Umleitung von Gehaltszahlungen ins Visier nimmt. Der Threat Actor nutzte SEO poisoning, Malvertising und Adversary-in-the-Middle-Techniken, um Sessions zu stehlen, Legacy-MFA zu umgehen und Direct-Deposit-Daten zu ändern – wodurch phishing-resistente MFA und Session-Monitoring zu entscheidenden Schutzmaßnahmen werden.

Security

EngageSDK Android-Sicherheitslücke gefährdete Wallets

Microsoft hat eine schwerwiegende Intent-Redirection-Sicherheitslücke im Drittanbieter-EngageSDK für Android offengelegt, durch die Millionen von Nutzern von Crypto-Wallets potenziell dem Risiko von Datenoffenlegung und Privilegienausweitung ausgesetzt waren. Das Problem wurde in EngageSDK Version 5.2.1 behoben und unterstreicht das wachsende Sicherheitsrisiko intransparenter Abhängigkeiten in der Mobile-App-Lieferkette.