Malware „Skeleton Key“ umgeht einfache Active-Directory-Authentifizierung

Eine neu entdeckte Malware namens „Skeleton Key“ ist in der Lage, die Authentifizierung von Active-Directory-Systemen zu umgehen. Darauf weist das Dell SecureWorks Counter Threat Unit Team in einer gestern veröffentlichten Sicherheitsmeldung hin.

Den Sicherheitsforschern zufolge erlaubt die Malware Cyberkriminellen den Zugang zu AD-Systemen, die nur eine Ein-Faktor-Authentifizierung verwenden – also allein durch Passwörter abgesichert sind. Hacker könnten ein Passwort ihrer Wahl verwenden, um sich als beliebiger Benutzer anzumelden, bevor sie tiefer ins Netzwerk vordringen und dort ihr Unwesen treiben.

Skeleton Key wurde Dell SecureWorks zufolge im Netzwerk eines Kunden entdeckt, das Passwörter zum Zugang zu E-Mail und VPN-Diensten einsetzt. Einmal als In-Memory-Patch im AD-Domain-Controller des Systems installiert, ermöglichte die Schadsoftware Angreifern uneingeschränkten Zugang zu Fernzugriffsdiensten. Zugleich waren legitime Nutzer in der Lage, normal mit dem System weiterzuarbeiten, ohne sich der Präsenz der Malware bewusst zu sein.

„Die Authentifizierungsumgehung von Skeleton Key erlaubt es Angreifern mit physischem Zugang zudem, sich anzumelden und Systeme zu entsperren, die Nutzer mittels des kompromittierten AD-Domain-Controllers authentifizieren“, so die Sicherheitsforscher. Auch wenn Angreifer Admin-Zugang zum Netzwerk benötigten, könnten sie sich als beliebiger Nutzer ausgeben, ohne andere zu alarmieren oder den Zugang rechtmäßiger User einzuschränken.

Ein verärgerter Mitarbeiter eines Unternehmens oder jemand mit bösen Absichten könnte sich mithilfe der Malware beispielsweise als Personalchef oder Account Manager ausgeben, um auf Daten von Angestellten, Partnern und Kunden zuzugreifen, ohne Verdacht zu erregen. Oder er gibt sich als Verwaltungsratsmitglied aus, um Einsicht in dessen E-Mails und Finanzdaten der Firma zu erhalten. Um an solch vertrauliche Informationen zu gelangen, wäre also nur ein Insider vonnöten, den die Malware vor der Entdeckung schützt.

Allerdings hat Dell SecureWorks auch einige Schwachstellen von Skeleton Key ausgemacht. So muss die Software bei jedem Start des Domain-Controllers neu eingespielt werden, damit sie weiterhin funktioniert. Außerdem gehen die Sicherheitsforscher davon aus, dass Skeleton Key ausschließlich zu 64-Bit-Versionen von Windows kompatibel ist. „Zwischen acht Stunden und acht Tagen nach einem Neustart nutzten Angreifer andere Fernzugriff-Malware, die bereits im Netzwerk des Opfers installiert war, um Skeleton Key erneut im Domain Controller zu installieren.“

Die Malware überträgt keinen Netzwerkverkehr, sodass sie nur schwer von IDS/IPS Intrusion Prevention Systems zu entdecken ist. Domain-Replizierungsprobleme können jedoch ein Anzeichen für eine Infektion sein. In diesen Fällen wird ein Neustart benötigt, um die Probleme zu beheben. Der beste Schutz vor einer Malware wie Skeleton Key ist jedoch die Verwendung einer Multi-Faktor-Authentifizierung.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

2 Tagen ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

2 Tagen ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

2 Tagen ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

3 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

3 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

4 Tagen ago