Neu entdeckte Malware greift schwach gesicherte Active Directories an

Peter Marwan,
Netzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement
Malware (Bild: Shutterstock / Maksim Kabakou)

Die Malware namens “Skeleton Key” ist in der Lage, die Authentifizierung von Active-Directory-Systemen zu umgehen. Darauf hat Dell SecureWorks hingewiesen. Den Dell-Experten zufolge erlaubt die Malware Cyberkriminellen den Zugang zu Umgebungen mit Active Diretory, wenn diese lediglich durch Passwörter abgesichert sind. Angreifer könnten dann ein Passwort ihrer Wahl verwenden, um sich als beliebiger Benutzer anzumelden, bevor sie tiefer ins Netzwerk vordringen.

Malware (Bild: Shutterstock / Maksim Kabakou)

Skeleton Key wurde den Sicherheitsforschern von Dell SecureWorks zufolge in einem Netzwerk entdeckt, das zur Absicherung von E-Mail und VPN-Diensten Passwörter einsetzt. Einmal als In-Memory-Patch im AD-Domain-Controller des Systems installiert, eröffne die Malware Angreifern uneingeschränkten Zugang zu Fernzugriffsdiensten.

“Die Authentifizierungsumgehung von Skeleton Key erlaubt es Angreifern mit phyischem Zugang zudem, sich anzumelden und Systeme zu entsperren, die Nutzer mittels des kompromittierten AD-Domain-Controllers authentifizieren”, so die Sicherheitsforscher. Auch wenn Angreifer Admin-Zugang zum Netzwerk benötigten, könnten sie sich als beliebiger Nutzer ausgeben, ohne dass andere dabei alarmiert wurden oder den Zugang rechtmäßiger Zugang eingeschränkt wurde.

Den Entdeckern der Malware zufolge könnte sich ein verärgerter Mitarbeiter oder jemand mit bösen Absichten mithilfe der Malware beispielsweise als Personalchef oder Account Manager ausgeben, um auf Daten von Angestellten, Partnern und Kunden zuzugreifen, ohne Verdacht zu erregen. Gibt er sich als Verwaltungsratsmitglied aus, bekommt er Einsicht in dessen E-Mails und die Finanzdaten der Firma.

Dell SecureWorks hat allerdings auch einige Schwachstellen von Skeleton Key ausgemacht. Die Software muss zum Beispiel bei jedem Start des Domain Controllers neu eingespielt werden, damit sie weiterhin funktioniert. Außerdem nehmen die Sicherheitsforscher an, dass Skeleton Key ausschließlich zu 64-Bit-Versionen von Windows kompatibel ist.

Die Malware überträgt keinen Netzwerkverkehr, sodass sie nur schwer von IDS/IPS Intrusion Prevention Systems zu entdecken ist. Domain-Replizierungsprobleme können jedoch ein Anzeichen für eine Infektion sein. In diesen Fällen hilft ein Neustart, die Probleme zu beheben. Der beste Schutz vor einer Malware wie Skeleton Key sei jedoch eine Multi-Faktor-Authentifizierung.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Lesen Sie auch :

Stau vermeiden mit Netzwerk-Monitoring

Bandbreiten-Monitoring richtig eingesetzt – Fünf Ursachen für plötzliche Traffic-Spitzen

HP Inc. führt für Business-Rechner HP Sure Click ein
Peter Marwan
Autor: Peter Marwan
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen