Skeleton Key hebelt Active-Directory-Authentifizierung aus

Sicherheitsforscher des Dell SecureWorks Counter Threat Unit Team haben die Malware “Skeleton Key” entdeckt. In einer Sicherheitsmeldung weisen sie daraufhin, dass die Schadsoftware die Authentifizierung von Active-Directory-Systemen umgehen kann.

Cyberkriminelle können die Malware verwenden, um Zugang zu AD-Systemen zu erhalten. Vorausgesetzt diese nutzen eine Ein-Faktor-Authentifizierung. Um sich als beliebiger Benutzer anzumelden, könnten Angreifer ein Passwort ihrer Wahl verwenden. Anschließend haben sie die Möglichkeit, tiefer ins Netzwerk vorzudringen.

Dell SecureWorks hat Skeleton Key nach eigenen Angaben im Netzwerk eines Kunden aufgespürt. Dieses setzt Passwörter zum Zugang zu E-Mail und VPN-Diensten ein. Einmal als In-Memory-Patch im AD-Domain-Controller des Systems installiert, erhalten Angreifer uneingeschränkten Zugang zu Fernzugriffsdiensten. Legitime Nutzer konnten zugleich normal mit dem System weiterarbeiten. Die Malware fiel dabei nicht auf.

“Die Authentifizierungsumgehung von Skeleton Key erlaubt es Angreifern mit physischem Zugang zudem, sich anzumelden und Systeme zu entsperren, die Nutzer mittels des kompromittierten AD-Domain-Controllers authentifizieren”, so die Sicherheitsforscher. Zwar benötige ein Angreifer Admin-Zugang zum Netzwerk, aber er könnte sich auch als beliebiger Nutzer ausgeben, ohne andere zu alarmieren oder den Zugang rechtmäßiger User einzuschränken.

Mit der Malware könnte sich ein verärgerter Mitarbeiter eines Unternehmens oder jemand mit bösen Absichten zum Beispiel als Personalchef oder Account Manager ausgeben und auf diese Weise auf Daten von Angestellten, Partnern und Kunden zugreifen, ohne Verdacht zu erwecken. Oder er gibt sich als Verwaltungsratsmitglied aus, um Einsicht in dessen E-Mails und Finanzdaten der Firma zu erhalten. Ein Insider, den die Malware vor der Entdeckung schützt, kann somit an solch vertrauliche Informationen gelangen.

Bester Schutz ist Multi-Faktor-Authentifizierung

Allerdings hat Dell SecureWorks auch einige Schwachstellen von Skeleton Key ausgemacht. So muss die Software bei jedem Start des Domain-Controllers neu eingespielt werden, damit sie weiterhin funktioniert. Außerdem gehen die Sicherheitsforscher davon aus, dass Skeleton Key ausschließlich zu 64-Bit-Versionen von Windows kompatibel ist. “Zwischen acht Stunden und acht Tagen nach einem Neustart nutzten Angreifer andere Fernzugriff-Malware, die bereits im Netzwerk des Opfers installiert war, um Skeleton Key erneut im Domain Controller zu installieren.”

Die Malware überträgt keinen Netzwerkverkehr, sodass sie nur schwer von IDS/IPS Intrusion Prevention Systems zu entdecken ist. Domain-Replizierungsprobleme können jedoch ein Anzeichen für eine Infektion sein. In diesen Fällen wird ein Neustart benötigt, um die Probleme zu beheben. Der beste Schutz vor einer Malware wie Skeleton Key ist jedoch die Verwendung einer Multi-Faktor-Authentifizierung.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de