Un nouveau logiciel malveillant visant les systèmes de Microsoft Active Directory

• 

Détails

Publié le vendredi 20 mars 2015 16:14

Écrit par tamtam

Une équipe de chercheurs, de la société Dell Secure Works, vient de détecter un « malware » permettant de contourner l'authentification des systèmes Microsoft « Active Directory » (un service d’annuaire,

d’identification et d’authentifications centralisée).

Baptisé « Skeleton Key », ce logiciel malveillant permet d’accéder à plusieurs versions du système d’exploitation « Windows » : « Windows Server 2003 R2 », « Windows Server 2008 » et « Windows Server 2008 R2 64 bit », qui utilisent l’authentification à un seul facteur. Il permet, également, de contrôler de nombreux services à savoir : le VPN et la messagerie.

Pour le déploiement de « Skeleton Key », il suffit d’avoir un mot de passe volé ou utiliser un logiciel pour l’extraire et se connecter sur un contrôleur de domaine, un autre serveur accessible du domaine ou l’ordinateur d’un administrateur.

De plus, chaque fois que le contrôleur de domaine est démarré, le « malware » nécessite un redéploiement pour le faire fonctionner.

Reste à noter que « Skeleton Key » ne génère pas de trafic réseau, ce qui rend sa détection difficile par les logiciels de détection d’intrusions du réseau.

Pour en savoir plus

www.secureworks.com/cyber-threat-intelligence/threats/skeleton-key-malware-analysis