Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Active Directory : un nouveau malware baptisé « Skeleton Key »
Permet de contourner les mots de passe

Le , par Michael Guilloux

0PARTAGES

2  0 
Des chercheurs de l'équipe de sécurité SecureWorks de DELL ont découvert un malware capable de contourner l'authentification sur les systèmes Active Directory (AD).

Le malware, baptisé « Skeleton Key », permet aux cybercriminels de contourner les systèmes AD qui mettent en œuvre l'authentification à un seul facteur. En d'autres termes, les systèmes qui s'appuient sur les mots de passe seuls pour la sécurité.

Il a été découvert sur le réseau d'un client qui utilise des mots de passe pour l'accès aux services de messagerie et VPN. Le malware, une fois déployé comme un patch en mémoire sur le contrôleur de domaine AD d'un système, a donné aux cybercriminels un accès illimité aux services d'accès à distance. Pendant ce temps, les utilisateurs légitimes ont pu continuer à avoir leurs accès normalement, sans se rendre compte de la présence ou de l'usurpation d'identité du malware.

Le malware ne s'installe pas réellement sur le système de fichiers, ce qui rend difficile sa détection. L'identifier en utilisant la surveillance de réseau traditionnelle ne fonctionne pas non plus à cause du fait que Skeleton Key ne génère pas de trafic réseau.

Une fois sur un réseau, il permet aux attaquants de se faire passer pour n'importe quel utilisateur sans alerter les autres ou restreindre l'accès des utilisateurs légitimes.
« Le contournement d'authentification de Skeleton Key donne aussi aux acteurs de la menace un accès physique pour se connecter et déverrouiller les systèmes qui authentifient les utilisateurs sur les contrôleurs de domaine AD compromis », ont déclaré les chercheurs de l’équipe de sécurité.

Skeleton a cependant quelques faiblesses qui peuvent l'empêcher d'infecter un réseau.
Tout d'abord, il nécessite des informations d'identification d'administrateur de domaine pour le déploiement. Les chercheurs ont observé que les acteurs de la menace déploient Skeleton Key en utilisant des identifiants volés des serveurs critiques, des postes de travail des administrateurs, et des contrôleurs de domaines ciblés.

Une autre faiblesse du malware est qu'il nécessite un redéploiement constant pour le faire fonctionner à chaque fois que le contrôleur de domaine est démarré.

Les chercheurs expliquent qu'après démarrage, « les acteurs de la menace ont utilisé d'autres logiciels malveillants d'accès à distance déjà déployés sur le réseau de la victime pour redéployer Skeleton Key sur les contrôleurs de domaine ». Un simple redémarrage du système pourrait donc neutraliser le malware. Mais la plus grande faiblesse de Skeleton est qu'il est inutile dès lors qu'une entreprise utilise un système d'authentification à deux facteurs pour se connecter aux serveurs, VPN, emails et autres.

La dernière note des chercheurs sur le malware indique qu'il est soupçonné d'être seulement compatible avec les versions 64 bits de Windows.

Source : Dell SecureWorks

Et vous ?

En résumé, il faut passer à un système d’authentification multi-facteur, les mots de passe seuls n’offrant aucune protection. Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Chauve souris
Membre émérite https://www.developpez.com
Le 15/01/2015 à 14:56
Citation Envoyé par Uther Voir le message
Marrant le nom du malware qui semble faire référence au tout premier Zelda (la clé squelette ouvrait toutes les portes).
Je crois bien que ce qu'on appelle "skeleton key" est, tout simplement la clé passe partout des serrures anciennes des hôtels. Une clé toute plate (d'où son nom) qui rentre dans toutes les serrures, l'introduction des autres clés étant limitée par le profil variable.
1  0 
Avatar de Miistik
Membre émérite https://www.developpez.com
Le 15/01/2015 à 9:47
Hum intéressant.

Mais bon en principe, on ne se limite pas à uniquement authentifier les clients par l'AD.

Les PCs ont généralement des certificats avec une CA interne.

L'utilisation de Kerberos peut être sympa pour les systèmes critiques également malgré la durée de la transaction complète.
0  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 15/01/2015 à 12:52
Marrant le nom du malware qui semble faire référence au tout premier Zelda (la clé squelette ouvrait toutes les portes).
0  0 
Avatar de Chauve souris
Membre émérite https://www.developpez.com
Le 15/01/2015 à 15:01
Pas très nouveau comme technique (http://www.bellamyjc.org/fr/pwdnt.html), cela me semble juste adapté au piratage.

Il est sûr que considérer que la confidentialité des données est assuré par le login/password d'AD est complètement chimérique. Avec des conteneurs cryptés (Truecrypt) le coffre à données est blindé.
0  0