MagicWeb hebelt Authentifizierung aus

Microsoft-Sicherheitsforscher haben eine Post-Compromise-Funktion entdeckt, die sie MagicWeb nennen und die von einem Bedrohungsakteur, den sie als NOBELIUM bezeichnen, verwendet wird. Dieses Zaubergewebe schafft es, den dauerhaften Zugang zu kompromittierten Umgebungen aufrechtzuerhalten.

NOBELIUM ist nach wie vor sehr aktiv und führt parallel mehrere Kampagnen durch, die auf Regierungsorganisationen, Nichtregierungsorganisationen (NGOs), zwischenstaatliche Organisationen (IGOs) und Think Tanks in den USA, Europa und Zentralasien abzielen. Das Microsoft Threat Intelligence Center (MSTIC) geht davon aus, dass MagicWeb wahrscheinlich während einer laufenden Kompromittierung eingesetzt und von NOBELIUM genutzt wurde, um den Zugang während strategischer Sanierungsschritte aufrechtzuerhalten, die einer Räumung zuvorkommen könnten.

NOBELIUM hat den Missbrauch von Identitäten und Zugangsberechtigungen als Methode zur Aufrechterhaltung der Persistenz eingesetzt, und eine spezialisierte Fähigkeit wie MagicWeb ist für den Akteur nicht neu: Im September 2021 veröffentlichte Microsoft eine Post-Exploitation-Fähigkeit namens FoggyWeb mit ähnlichen Methoden und Absichten wie MagicWeb.

FoggyWeb war in der Lage, die Konfigurationsdatenbank von kompromittierten AD FS-Servern zu exfiltrieren, Token-Signaturzertifikate und Token-Entschlüsselungszertifikate zu entschlüsseln und zusätzliche Malware-Komponenten herunterzuladen und auszuführen. MagicWeb geht über die Sammelfunktionen von FoggyWeb hinaus, indem es einen direkten verdeckten Zugriff ermöglicht.

MagicWeb ist eine bösartige DLL, die eine Manipulation der Ansprüche ermöglicht, die in den von einem Active Directory Federated Services (AD FS)-Server generierten Token übergeben werden. Sie manipuliert die Benutzerauthentifizierungszertifikate, die für die Authentifizierung verwendet werden, nicht aber die Signierzertifikate, die bei Angriffen wie Golden SAML verwendet werden.

NOBELIUM war in der Lage, MagicWeb einzusetzen, indem es sich zunächst Zugang zu hoch privilegierten Anmeldeinformationen verschaffte und sich dann seitlich bewegte, um administrative Berechtigungen für ein AD FS-System zu erlangen. Es handelt sich nicht um einen Angriff über die Lieferkette. Der Angreifer hatte Administratorzugriff auf das AD FS-System und ersetzte eine legitime DLL durch seine eigene bösartige DLL, so dass die Malware von AD FS anstelle der legitimen Binärdatei geladen wurde.

Die Hintertür wurde von Microsofts Detection and Response Team (DART) in Zusammenarbeit mit MSTIC und Microsoft 365 Defender Research während einer laufenden Untersuchung des Vorfalls entdeckt. Microsoft gibt diese Informationen mit dem Einverständnis des Kunden weiter. Zum Zeitpunkt dieser Untersuchung scheint MagicWeb sehr zielgerichtet zu sein.

Wie Domänencontroller können auch AD FS-Server Benutzer authentifizieren und sollten daher mit dem gleichen hohen Sicherheitsniveau behandelt werden. Kunden können sich gegen MagicWeb und andere Hintertüren schützen, indem sie eine ganzheitliche Sicherheitsstrategie einschließlich der AD FS-Härtungsanleitung implementieren. Im Fall dieser speziellen Entdeckung ist MagicWeb ein Schritt in einer viel größeren Eindringlingskette, die einzigartige Erkennungs- und Verhinderungsszenarien bietet.

Bei allen kritischen Infrastrukturen wie AD FS muss sichergestellt werden, dass Angreifer keinen administrativen Zugriff erhalten. Wenn Angreifer erst einmal administrativen Zugriff erlangt haben, stehen ihnen viele Möglichkeiten zur Verfügung, um das System weiter zu kompromittieren, Aktivitäten zu verschleiern und zu verbergen. Microsoft empfiehlt, dass eine solche Infrastruktur isoliert wird, nur über spezielle Administratorkonten zugänglich ist und regelmäßig auf Änderungen überwacht wird. Zu den weiteren Sicherheitsmaßnahmen, die diesen und andere Angriffe verhindern können, gehört die Überprüfung der Anmeldeinformationen, um seitliche Bewegungen zu verhindern.

AD FS ist ein lokaler Server, und wie bei allen lokalen Servern können Bereitstellungen veraltet sein und/oder nicht gepatcht werden, und sie können von Kompromittierungen der lokalen Umgebung und seitlichen Bewegungen betroffen sein. Aus diesen Gründen wird die Migration zu einer Cloud-basierten Identitätslösung wie Azure Active Directory für die Verbundauthentifizierung empfohlen, da sie eine hohe Sicherheit bietet. Obwohl die Forscher davon ausgehen, dass diese Funktion nur in begrenztem Umfang genutzt wird, fürchtet Microsoft, dass andere Akteure ähnliche Methoden anwenden könnten, und empfiehlt Kunden daher, die in diesem Blog enthaltenen Hinweise zur Absicherung und Schadensbegrenzung zu prüfen.

Wie MagicWeb die Authentifizierung unterläuft

MagicWeb ist eine Post-Compromise-Malware, die nur von einem Bedrohungsakteur eingesetzt werden kann, nachdem er sich hochgradig privilegierten Zugang zu einer Umgebung verschafft und sich seitlich zu einem AD FS-Server bewegt hat. Um das Ziel zu erreichen, den dauerhaften Zugriff auf eine Umgebung aufrechtzuerhalten, indem die Authentifizierung für jedes Benutzerkonto auf dem AD FS-Server validiert wird, hat NOBELIUM eine Backdoored-DLL erstellt, indem es die legitime Microsoft.IdentityServer.Diagnostics.dll-Datei kopiert hat, die für AD FS-Vorgänge verwendet wird.

Die legitime Version dieser Datei ist von Microsoft katalogsigniert und wird normalerweise vom AD FS-Server beim Start geladen, um Debugging-Funktionen bereitzustellen. Die von NOBELIUM gefälschte Version der Datei ist unsigniert. Da der Bedrohungsakteur über hoch privilegierte Zugriffsrechte verfügte, die ihm den Zugriff auf den AD FS-Server ermöglichten, hätte er eine beliebige Anzahl von Aktionen in der Umgebung durchführen können, aber er entschied sich speziell für einen AD FS-Server, um seine Ziele der Persistenz und des Informationsdiebstahls während seiner Operationen zu erleichtern.

Nachdem der administrative Zugriff auf einen AD FS-Server über eine Erhöhung der Rechte und eine seitliche Bewegung erlangt wurde, ist das Laden der bösartigen Microsoft.IdentityServer.Diagnostics.dll von NOBELIUM in den AD FS-Prozess möglich, indem C:\Windows\AD FS\Microsoft.IdentityServer.Servicehost.exe.config bearbeitet wird, um ein anderes öffentliches Token festzulegen, das steuert, was in den AD FS-Prozess geladen wird, wenn er gestartet wird. Da AD FS eine .NET-Anwendung ist, lädt es die in der Konfigurationsdatei angegebenen DLLs aus dem Global Assembly Cache (GAC).

Durch Ändern des Tokens in der Konfiguration hat der Angreifer AD FS angewiesen, die bösartige DLL zu laden. Durch das Abfangen und Manipulieren von Ansprüchen durch MagicWeb kann der Angreifer Token generieren, die es ihm ermöglichen, AD FS-Richtlinien (Rollen-, Geräte- und Netzwerkrichtlinien) zu umgehen und sich als beliebiger Benutzer mit beliebigen Ansprüchen anzumelden, einschließlich Multifaktor-Authentifizierung (MFA).