Active Directory : un nouveau malware baptisé « Skeleton Key »
Permet de contourner les mots de passe
Le 2015-01-15 09:05:39, par Michael Guilloux, Chroniqueur Actualités
Des chercheurs de l'équipe de sécurité SecureWorks de DELL ont découvert un malware capable de contourner l'authentification sur les systèmes Active Directory (AD).
Le malware, baptisé « Skeleton Key », permet aux cybercriminels de contourner les systèmes AD qui mettent en œuvre l'authentification à un seul facteur. En d'autres termes, les systèmes qui s'appuient sur les mots de passe seuls pour la sécurité.
Il a été découvert sur le réseau d'un client qui utilise des mots de passe pour l'accès aux services de messagerie et VPN. Le malware, une fois déployé comme un patch en mémoire sur le contrôleur de domaine AD d'un système, a donné aux cybercriminels un accès illimité aux services d'accès à distance. Pendant ce temps, les utilisateurs légitimes ont pu continuer à avoir leurs accès normalement, sans se rendre compte de la présence ou de l'usurpation d'identité du malware.
Le malware ne s'installe pas réellement sur le système de fichiers, ce qui rend difficile sa détection. L'identifier en utilisant la surveillance de réseau traditionnelle ne fonctionne pas non plus à cause du fait que Skeleton Key ne génère pas de trafic réseau.
Une fois sur un réseau, il permet aux attaquants de se faire passer pour n'importe quel utilisateur sans alerter les autres ou restreindre l'accès des utilisateurs légitimes.
« Le contournement d'authentification de Skeleton Key donne aussi aux acteurs de la menace un accès physique pour se connecter et déverrouiller les systèmes qui authentifient les utilisateurs sur les contrôleurs de domaine AD compromis », ont déclaré les chercheurs de l’équipe de sécurité.
Skeleton a cependant quelques faiblesses qui peuvent l'empêcher d'infecter un réseau.
Tout d'abord, il nécessite des informations d'identification d'administrateur de domaine pour le déploiement. Les chercheurs ont observé que les acteurs de la menace déploient Skeleton Key en utilisant des identifiants volés des serveurs critiques, des postes de travail des administrateurs, et des contrôleurs de domaines ciblés.
Une autre faiblesse du malware est qu'il nécessite un redéploiement constant pour le faire fonctionner à chaque fois que le contrôleur de domaine est démarré.
Les chercheurs expliquent qu'après démarrage, « les acteurs de la menace ont utilisé d'autres logiciels malveillants d'accès à distance déjà déployés sur le réseau de la victime pour redéployer Skeleton Key sur les contrôleurs de domaine ». Un simple redémarrage du système pourrait donc neutraliser le malware. Mais la plus grande faiblesse de Skeleton est qu'il est inutile dès lors qu'une entreprise utilise un système d'authentification à deux facteurs pour se connecter aux serveurs, VPN, emails et autres.
La dernière note des chercheurs sur le malware indique qu'il est soupçonné d'être seulement compatible avec les versions 64 bits de Windows.
Source : Dell SecureWorks
Et vous ?
Le malware, baptisé « Skeleton Key », permet aux cybercriminels de contourner les systèmes AD qui mettent en œuvre l'authentification à un seul facteur. En d'autres termes, les systèmes qui s'appuient sur les mots de passe seuls pour la sécurité.
Il a été découvert sur le réseau d'un client qui utilise des mots de passe pour l'accès aux services de messagerie et VPN. Le malware, une fois déployé comme un patch en mémoire sur le contrôleur de domaine AD d'un système, a donné aux cybercriminels un accès illimité aux services d'accès à distance. Pendant ce temps, les utilisateurs légitimes ont pu continuer à avoir leurs accès normalement, sans se rendre compte de la présence ou de l'usurpation d'identité du malware.
Le malware ne s'installe pas réellement sur le système de fichiers, ce qui rend difficile sa détection. L'identifier en utilisant la surveillance de réseau traditionnelle ne fonctionne pas non plus à cause du fait que Skeleton Key ne génère pas de trafic réseau.
Une fois sur un réseau, il permet aux attaquants de se faire passer pour n'importe quel utilisateur sans alerter les autres ou restreindre l'accès des utilisateurs légitimes.
« Le contournement d'authentification de Skeleton Key donne aussi aux acteurs de la menace un accès physique pour se connecter et déverrouiller les systèmes qui authentifient les utilisateurs sur les contrôleurs de domaine AD compromis », ont déclaré les chercheurs de l’équipe de sécurité.
Skeleton a cependant quelques faiblesses qui peuvent l'empêcher d'infecter un réseau.
Tout d'abord, il nécessite des informations d'identification d'administrateur de domaine pour le déploiement. Les chercheurs ont observé que les acteurs de la menace déploient Skeleton Key en utilisant des identifiants volés des serveurs critiques, des postes de travail des administrateurs, et des contrôleurs de domaines ciblés.
Une autre faiblesse du malware est qu'il nécessite un redéploiement constant pour le faire fonctionner à chaque fois que le contrôleur de domaine est démarré.
Les chercheurs expliquent qu'après démarrage, « les acteurs de la menace ont utilisé d'autres logiciels malveillants d'accès à distance déjà déployés sur le réseau de la victime pour redéployer Skeleton Key sur les contrôleurs de domaine ». Un simple redémarrage du système pourrait donc neutraliser le malware. Mais la plus grande faiblesse de Skeleton est qu'il est inutile dès lors qu'une entreprise utilise un système d'authentification à deux facteurs pour se connecter aux serveurs, VPN, emails et autres.
La dernière note des chercheurs sur le malware indique qu'il est soupçonné d'être seulement compatible avec les versions 64 bits de Windows.
Source : Dell SecureWorks
Et vous ?
-
Chauve sourisMembre expertJe crois bien que ce qu'on appelle "skeleton key" est, tout simplement la clé passe partout des serrures anciennes des hôtels. Une clé toute plate (d'où son nom) qui rentre dans toutes les serrures, l'introduction des autres clés étant limitée par le profil variable.le 15/01/2015 à 14:56
-
MiistikMembre émériteHum intéressant.
Mais bon en principe, on ne se limite pas à uniquement authentifier les clients par l'AD.
Les PCs ont généralement des certificats avec une CA interne.
L'utilisation de Kerberos peut être sympa pour les systèmes critiques également malgré la durée de la transaction complète.le 15/01/2015 à 9:47 -
UtherExpert éminent séniorMarrant le nom du malware qui semble faire référence au tout premier Zelda (la clé squelette ouvrait toutes les portes).le 15/01/2015 à 12:52
-
Chauve sourisMembre expertPas très nouveau comme technique (http://www.bellamyjc.org/fr/pwdnt.html), cela me semble juste adapté au piratage.
Il est sûr que considérer que la confidentialité des données est assuré par le login/password d'AD est complètement chimérique. Avec des conteneurs cryptés (Truecrypt) le coffre à données est blindé.le 15/01/2015 à 15:01