Des chercheurs de l'équipe de sécurité SecureWorks de DELL ont découvert un malware capable de contourner l'authentification sur les systèmes Active Directory (AD).Le malware, baptisé « Skeleton Key », permet aux cybercriminels de contourner les systèmes AD qui mettent en œuvre l'authentification à un seul facteur. En d'autres termes, les systèmes qui s'appuient sur les mots de passe seuls pour la sécurité.
Il a été découvert sur le réseau d'un client qui utilise des mots de passe pour l'accès aux services de messagerie et VPN. Le malware, une fois déployé comme un patch en mémoire sur le contrôleur de domaine AD d'un système, a donné aux cybercriminels un accès illimité aux services d'accès à distance. Pendant ce temps, les utilisateurs légitimes ont pu continuer à avoir leurs accès normalement, sans se rendre compte de la présence ou de l'usurpation d'identité du malware.
Le malware ne s'installe pas réellement sur le système de fichiers, ce qui rend difficile sa détection. L'identifier en utilisant la surveillance de réseau traditionnelle ne fonctionne pas non plus à cause du fait que Skeleton Key ne génère pas de trafic réseau.
Une fois sur un réseau, il permet aux attaquants de se faire passer pour n'importe quel utilisateur sans alerter les autres ou restreindre l'accès des utilisateurs légitimes.
« Le contournement d'authentification de Skeleton Key donne aussi aux acteurs de la menace un accès physique pour se connecter et déverrouiller les systèmes qui authentifient les utilisateurs sur les contrôleurs de domaine AD compromis », ont déclaré les chercheurs de l’équipe de sécurité.
Skeleton a cependant quelques faiblesses qui peuvent l'empêcher d'infecter un réseau.
Tout d'abord, il nécessite des informations d'identification d'administrateur de domaine pour le déploiement. Les chercheurs ont observé que les acteurs de la menace déploient Skeleton Key en utilisant des identifiants volés des serveurs critiques, des postes de travail des administrateurs, et des contrôleurs de domaines ciblés.
Une autre faiblesse du malware est qu'il nécessite un redéploiement constant pour le faire fonctionner à chaque fois que le contrôleur de domaine est démarré.
Les chercheurs expliquent qu'après démarrage, « les acteurs de la menace ont utilisé d'autres logiciels malveillants d'accès à distance déjà déployés sur le réseau de la victime pour redéployer Skeleton Key sur les contrôleurs de domaine ». Un simple redémarrage du système pourrait donc neutraliser le malware. Mais la plus grande faiblesse de Skeleton est qu'il est inutile dès lors qu'une entreprise utilise un système d'authentification à deux facteurs pour se connecter aux serveurs, VPN, emails et autres.
La dernière note des chercheurs sur le malware indique qu'il est soupçonné d'être seulement compatible avec les versions 64 bits de Windows.
Source : Dell SecureWorks
Et vous ?
En résumé, il faut passer à un système d’authentification multi-facteur, les mots de passe seuls n’offrant aucune protection. Qu’en pensez-vous ? 
Envoyé par Uther
