Eine neu entdeckte Malware namens „Skeleton Key“ ist in der Lage, die Authentifizierung von Active-Directory-Systemen zu umgehen. Darauf weist das Dell SecureWorks Counter Threat Unit Team in einer gestern veröffentlichten Sicherheitsmeldung hin.
Den Sicherheitsforschern zufolge erlaubt die Malware Cyberkriminellen den Zugang zu AD-Systemen, die nur eine Ein-Faktor-Authentifizierung verwenden – also allein durch Passwörter abgesichert sind. Hacker könnten ein Passwort ihrer Wahl verwenden, um sich als beliebiger Benutzer anzumelden, bevor sie tiefer ins Netzwerk vordringen und dort ihr Unwesen treiben.
Skeleton Key wurde Dell SecureWorks zufolge im Netzwerk eines Kunden entdeckt, das Passwörter zum Zugang zu E-Mail und VPN-Diensten einsetzt. Einmal als In-Memory-Patch im AD-Domain-Controller des Systems installiert, ermöglichte die Schadsoftware Angreifern uneingeschränkten Zugang zu Fernzugriffsdiensten. Zugleich waren legitime Nutzer in der Lage, normal mit dem System weiterzuarbeiten, ohne sich der Präsenz der Malware bewusst zu sein.
„Die Authentifizierungsumgehung von Skeleton Key erlaubt es Angreifern mit physischem Zugang zudem, sich anzumelden und Systeme zu entsperren, die Nutzer mittels des kompromittierten AD-Domain-Controllers authentifizieren“, so die Sicherheitsforscher. Auch wenn Angreifer Admin-Zugang zum Netzwerk benötigten, könnten sie sich als beliebiger Nutzer ausgeben, ohne andere zu alarmieren oder den Zugang rechtmäßiger User einzuschränken.
Ein verärgerter Mitarbeiter eines Unternehmens oder jemand mit bösen Absichten könnte sich mithilfe der Malware beispielsweise als Personalchef oder Account Manager ausgeben, um auf Daten von Angestellten, Partnern und Kunden zuzugreifen, ohne Verdacht zu erregen. Oder er gibt sich als Verwaltungsratsmitglied aus, um Einsicht in dessen E-Mails und Finanzdaten der Firma zu erhalten. Um an solch vertrauliche Informationen zu gelangen, wäre also nur ein Insider vonnöten, den die Malware vor der Entdeckung schützt.
Allerdings hat Dell SecureWorks auch einige Schwachstellen von Skeleton Key ausgemacht. So muss die Software bei jedem Start des Domain-Controllers neu eingespielt werden, damit sie weiterhin funktioniert. Außerdem gehen die Sicherheitsforscher davon aus, dass Skeleton Key ausschließlich zu 64-Bit-Versionen von Windows kompatibel ist. „Zwischen acht Stunden und acht Tagen nach einem Neustart nutzten Angreifer andere Fernzugriff-Malware, die bereits im Netzwerk des Opfers installiert war, um Skeleton Key erneut im Domain Controller zu installieren.“
Die Malware überträgt keinen Netzwerkverkehr, sodass sie nur schwer von IDS/IPS Intrusion Prevention Systems zu entdecken ist. Domain-Replizierungsprobleme können jedoch ein Anzeichen für eine Infektion sein. In diesen Fällen wird ein Neustart benötigt, um die Probleme zu beheben. Der beste Schutz vor einer Malware wie Skeleton Key ist jedoch die Verwendung einer Multi-Faktor-Authentifizierung.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ein Balkonkraftwerk mit Speicher ermöglicht es, den Eigenverbrauchsanteil deutlich zu erhöhen und Solarstrom auch dann…
ESET-Experten warnen vor Zero-Day-Exploit, der die Ausführung von schadhaftem Code erlaubt.
Die höchste Verbreitung erzielt die auf Datendiebstahl ausgerichtete Malware Androxgh0st. Bei den Ransomware-Gruppen liebt Clop…
Fraunhofer arbeitet an einer Plattform, die 360°-Live-Streams an mehrere Spielstätten überträgt und den Besuchern Interaktionsmöglichkeiten…
Die kommende Version von Googles Mobilbetriebssystem erreicht Plattform-Stabilität. Damit ist die Entwicklung der APIs von…
Der Manager war bis August 2024 Mitglied des Board of Directors von Intel. Der derzeitige…
