Neu entdeckte Malware greift schwach gesicherte Active Directories an

Netzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement
Malware (Bild: Shutterstock / Maksim Kabakou)

Die Skeleton Key getaufte Malware versucht, sich im Active Directory Domain Controller zu installieren. Schafft sie das, ermöglicht sie Angreifern uneingeschränkten Zugang zu Fernzugriffsdiensten. Sie können sich als legitimer Nutzer ausgeben und in dessen Namen sowie mit dessen Rechten agieren. Die schwer zu entdeckende Malware kann durch Multi-Faktor-Authentifizierung ausgebremst werden.

Die Malware namens “Skeleton Key” ist in der Lage, die Authentifizierung von Active-Directory-Systemen zu umgehen. Darauf hat Dell SecureWorks hingewiesen. Den Dell-Experten zufolge erlaubt die Malware Cyberkriminellen den Zugang zu Umgebungen mit Active Diretory, wenn diese lediglich durch Passwörter abgesichert sind. Angreifer könnten dann ein Passwort ihrer Wahl verwenden, um sich als beliebiger Benutzer anzumelden, bevor sie tiefer ins Netzwerk vordringen.

Malware (Bild: Shutterstock / Maksim Kabakou)

Skeleton Key wurde den Sicherheitsforschern von Dell SecureWorks zufolge in einem Netzwerk entdeckt, das zur Absicherung von E-Mail und VPN-Diensten Passwörter einsetzt. Einmal als In-Memory-Patch im AD-Domain-Controller des Systems installiert, eröffne die Malware Angreifern uneingeschränkten Zugang zu Fernzugriffsdiensten.

“Die Authentifizierungsumgehung von Skeleton Key erlaubt es Angreifern mit phyischem Zugang zudem, sich anzumelden und Systeme zu entsperren, die Nutzer mittels des kompromittierten AD-Domain-Controllers authentifizieren”, so die Sicherheitsforscher. Auch wenn Angreifer Admin-Zugang zum Netzwerk benötigten, könnten sie sich als beliebiger Nutzer ausgeben, ohne dass andere dabei alarmiert wurden oder den Zugang rechtmäßiger Zugang eingeschränkt wurde.

Den Entdeckern der Malware zufolge könnte sich ein verärgerter Mitarbeiter oder jemand mit bösen Absichten mithilfe der Malware beispielsweise als Personalchef oder Account Manager ausgeben, um auf Daten von Angestellten, Partnern und Kunden zuzugreifen, ohne Verdacht zu erregen. Gibt er sich als Verwaltungsratsmitglied aus, bekommt er Einsicht in dessen E-Mails und die Finanzdaten der Firma.

Dell SecureWorks hat allerdings auch einige Schwachstellen von Skeleton Key ausgemacht. Die Software muss zum Beispiel bei jedem Start des Domain Controllers neu eingespielt werden, damit sie weiterhin funktioniert. Außerdem nehmen die Sicherheitsforscher an, dass Skeleton Key ausschließlich zu 64-Bit-Versionen von Windows kompatibel ist.

Die Malware überträgt keinen Netzwerkverkehr, sodass sie nur schwer von IDS/IPS Intrusion Prevention Systems zu entdecken ist. Domain-Replizierungsprobleme können jedoch ein Anzeichen für eine Infektion sein. In diesen Fällen hilft ein Neustart, die Probleme zu beheben. Der beste Schutz vor einer Malware wie Skeleton Key sei jedoch eine Multi-Faktor-Authentifizierung.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen