Malware „Skeleton Key“ umgeht einfache Active-Directory-Authentifizierung

Einmal im AD-Domain-Controller installiert, ermöglicht die Schadsoftware Angreifern uneingeschränkten Zugang zu Fernzugriffsdiensten. Sie können sich so als beliebiger Nutzer ausgeben, um in dessen Namen und mit dessen Rechten auf Daten zuzugreifen. Schutz bietet einen Multi-Faktor-Authentifizierung.

Eine neu entdeckte Malware namens „Skeleton Key“ ist in der Lage, die Authentifizierung von Active-Directory-Systemen zu umgehen. Darauf weist das Dell SecureWorks Counter Threat Unit Team in einer gestern veröffentlichten Sicherheitsmeldung hin.

(Bild: Shutterstock/Cousin_Avi)

Den Sicherheitsforschern zufolge erlaubt die Malware Cyberkriminellen den Zugang zu AD-Systemen, die nur eine Ein-Faktor-Authentifizierung verwenden – also allein durch Passwörter abgesichert sind. Hacker könnten ein Passwort ihrer Wahl verwenden, um sich als beliebiger Benutzer anzumelden, bevor sie tiefer ins Netzwerk vordringen und dort ihr Unwesen treiben.

Skeleton Key wurde Dell SecureWorks zufolge im Netzwerk eines Kunden entdeckt, das Passwörter zum Zugang zu E-Mail und VPN-Diensten einsetzt. Einmal als In-Memory-Patch im AD-Domain-Controller des Systems installiert, ermöglichte die Schadsoftware Angreifern uneingeschränkten Zugang zu Fernzugriffsdiensten. Zugleich waren legitime Nutzer in der Lage, normal mit dem System weiterzuarbeiten, ohne sich der Präsenz der Malware bewusst zu sein.

„Die Authentifizierungsumgehung von Skeleton Key erlaubt es Angreifern mit physischem Zugang zudem, sich anzumelden und Systeme zu entsperren, die Nutzer mittels des kompromittierten AD-Domain-Controllers authentifizieren“, so die Sicherheitsforscher. Auch wenn Angreifer Admin-Zugang zum Netzwerk benötigten, könnten sie sich als beliebiger Nutzer ausgeben, ohne andere zu alarmieren oder den Zugang rechtmäßiger User einzuschränken.

Ein verärgerter Mitarbeiter eines Unternehmens oder jemand mit bösen Absichten könnte sich mithilfe der Malware beispielsweise als Personalchef oder Account Manager ausgeben, um auf Daten von Angestellten, Partnern und Kunden zuzugreifen, ohne Verdacht zu erregen. Oder er gibt sich als Verwaltungsratsmitglied aus, um Einsicht in dessen E-Mails und Finanzdaten der Firma zu erhalten. Um an solch vertrauliche Informationen zu gelangen, wäre also nur ein Insider vonnöten, den die Malware vor der Entdeckung schützt.

Allerdings hat Dell SecureWorks auch einige Schwachstellen von Skeleton Key ausgemacht. So muss die Software bei jedem Start des Domain-Controllers neu eingespielt werden, damit sie weiterhin funktioniert. Außerdem gehen die Sicherheitsforscher davon aus, dass Skeleton Key ausschließlich zu 64-Bit-Versionen von Windows kompatibel ist. „Zwischen acht Stunden und acht Tagen nach einem Neustart nutzten Angreifer andere Fernzugriff-Malware, die bereits im Netzwerk des Opfers installiert war, um Skeleton Key erneut im Domain Controller zu installieren.“

Die Malware überträgt keinen Netzwerkverkehr, sodass sie nur schwer von IDS/IPS Intrusion Prevention Systems zu entdecken ist. Domain-Replizierungsprobleme können jedoch ein Anzeichen für eine Infektion sein. In diesen Fällen wird ein Neustart benötigt, um die Probleme zu beheben. Der beste Schutz vor einer Malware wie Skeleton Key ist jedoch die Verwendung einer Multi-Faktor-Authentifizierung.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Dell, Hacker, Malware, Netzwerk, SecureWorks

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Björn Greif
Autor: Björn Greif
Redakteur ZDNet.de
Björn Greif
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Malware „Skeleton Key“ umgeht einfache Active-Directory-Authentifizierung

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *