Sicherheitsforscher entdecken HintertĂĽr zum Active Directory

Bei einer Analyse eines sich seltsam verhaltenden Domain Controllers entdeckten Sicherheitsspezialisten eine ganz besondere Hintertür: Einbrecher hatten die Windows Server so manipuliert, dass ein Master-Passwort universellen Zugang gewährte.

In Pocket speichern vorlesen Druckansicht 46 Kommentare lesen
Sicherheitsforscher entdecken HintertĂĽr zum Active Directory

(Bild: Pethrus, CC BY-SA 3.0)

Lesezeit: 3 Min.

Die Counter Threat Unit von Dell (CTU) hat bei einer Analyse eines Firmennetzes eine raffinierte Hintertür entdeckt, über die sich die Angreifer Zugang zu nahezu allen Systemen des Netzes verschafft hatten. Die Schad-Software Skeleton Key klinkte sich so in die Windows-Netzwerk-Authentifizierung Active Directory ein, dass sich die Angreifer mit einem eigenen Passwort als beliebige Nutzer anmelden konnten – und zwar überall im gesamten Firmennetz. Das funktionierte dann auch via VPN von außen oder auf den E-Mail-Servern der Firma.

Aufgefallen sind zunächst nur seltsame Probleme bei Replizieren von Daten der Domain Controller, die auch der Microsoft Support nicht erklären konnte. Diese verschwanden zwar nach einem Reboot der Systeme, tauchten dann aber nach einigen Stunden oder Tagen immer wieder auf.

Die zu Hilfe gerufenen Ghostbuster der CTU fanden nach einigen Analysen die Erklärung für dieses Verhalten: Die Skeleton-Key-Backdoor verankert sich nicht permanent im System sondern klinkt sich nur im Arbeitsspeicher in die Authentifizierung ein. Damit konnten sie sich dann mit einem Master-Passwort als jeder beliebige Benutzer im Netz anmelden. Konkret haben die Angreifer dazu eine spezielle DLL in den LSASS-Prozess geladen. Die war nach dem Neustart verschwunden und damit auch die unbeabsichtigten, von ihr verursachten Nebenwirkungen.

Das Spiel wiederholte sich ĂĽber Monate: Nach jedem Neustart installierten die Angreifer ihre HintertĂĽr erneut.

(Bild: Dell SecureWorks)

Damit waren zwar auch die Einbrecher zunächst ausgesperrt; allerdings brachten sie dann über gekaperte Domain-Admin-Accounts ihren Skeleton Key einfach erneut in Stellung. Dazu hatten sie auf mehreren Systemen im Netz spezielle Remote Access Schadsoftware installiert. Zwischen einem Reboot und der Neu-Infektion des Domain Controllers vergingen zwischen acht Stunden und acht Tage. Dieses Spiel zog sich gemäß einer Timeline der CTU über mehrere Monate hin, in denen die Einbrecher im Firmennetz anscheinend recht frei schalten und walten konnten.

Dazu hatten sie sich wohl im Rahmen einer gezielten Attacke zunächst Zugang zum Netz der Firma und dann auch die Zugangsdaten eines Domain-Administrators besorgt. Diese wurden unter anderem mit speziellen Tools aus dem Arbeitsspeicher von Systemen extrahiert, auf denen dieser angemeldet war. Diese Vorgehensweise und auch dass sich der Einbruch über viele Wochen hinzog, ist typisch für solche gezielten Angriffe, wie auch eine Analyse es systematischen Anunak-Raubzugs bei Banken bestätigt. Leider gibt die CTU in ihrer Beschreibung der Skeleton-Key-Hintertür keine Details dazu preis, wie der Einbruch in das Firmennetz hier erfolgte und um was für eine Firma es sich dabei handelte.

Dafür liefern sie einige recht konkrete Indizien, mit denen man die Anwesenheit von Skeleton Key auf einem Windows Server feststellen kann. Mangels konkreter Dateien und Netzwerk-Aktivitäten ist das nämlich gar nicht so einfach. Florian Roth hat einen einfachen Skeleton-Key-Scanner gebaut, der nach diesen Indizien Ausschau hält. Grundsätzlich kann Skeleton Key auf den 64-Bit-Versionen von Windows Server 2003 und 2008 zum Einsatz kommen; auf 32-Bit-Systemen und ab Windows Server 2012 funktioniert die Hintertür nicht. Als wichtigste vorbeugende Maßnahme empfiehlt Dell Secureworks CTU den Einsatz von Mehrfaktor-Authentifizierung. (ju)