Sicherheitsforscher des Dell SecureWorks Counter Threat Unit Team haben die Malware “Skeleton Key” entdeckt. In einer Sicherheitsmeldung weisen sie daraufhin, dass die Schadsoftware die Authentifizierung von Active-Directory-Systemen umgehen kann.
Cyberkriminelle können die Malware verwenden, um Zugang zu AD-Systemen zu erhalten. Vorausgesetzt diese nutzen eine Ein-Faktor-Authentifizierung. Um sich als beliebiger Benutzer anzumelden, könnten Angreifer ein Passwort ihrer Wahl verwenden. Anschließend haben sie die Möglichkeit, tiefer ins Netzwerk vorzudringen.
Dell SecureWorks hat Skeleton Key nach eigenen Angaben im Netzwerk eines Kunden aufgespürt. Dieses setzt Passwörter zum Zugang zu E-Mail und VPN-Diensten ein. Einmal als In-Memory-Patch im AD-Domain-Controller des Systems installiert, erhalten Angreifer uneingeschränkten Zugang zu Fernzugriffsdiensten. Legitime Nutzer konnten zugleich normal mit dem System weiterarbeiten. Die Malware fiel dabei nicht auf.
Mit der Malware könnte sich ein verärgerter Mitarbeiter eines Unternehmens oder jemand mit bösen Absichten zum Beispiel als Personalchef oder Account Manager ausgeben und auf diese Weise auf Daten von Angestellten, Partnern und Kunden zugreifen, ohne Verdacht zu erwecken. Oder er gibt sich als Verwaltungsratsmitglied aus, um Einsicht in dessen E-Mails und Finanzdaten der Firma zu erhalten. Ein Insider, den die Malware vor der Entdeckung schützt, kann somit an solch vertrauliche Informationen gelangen.
Allerdings hat Dell SecureWorks auch einige Schwachstellen von Skeleton Key ausgemacht. So muss die Software bei jedem Start des Domain-Controllers neu eingespielt werden, damit sie weiterhin funktioniert. Außerdem gehen die Sicherheitsforscher davon aus, dass Skeleton Key ausschließlich zu 64-Bit-Versionen von Windows kompatibel ist. “Zwischen acht Stunden und acht Tagen nach einem Neustart nutzten Angreifer andere Fernzugriff-Malware, die bereits im Netzwerk des Opfers installiert war, um Skeleton Key erneut im Domain Controller zu installieren.”
Die Malware überträgt keinen Netzwerkverkehr, sodass sie nur schwer von IDS/IPS Intrusion Prevention Systems zu entdecken ist. Domain-Replizierungsprobleme können jedoch ein Anzeichen für eine Infektion sein. In diesen Fällen wird ein Neustart benötigt, um die Probleme zu beheben. Der beste Schutz vor einer Malware wie Skeleton Key ist jedoch die Verwendung einer Multi-Faktor-Authentifizierung.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.