Investigadores de Dell SecureWorks han detectado un malware que denominan Skeleton Key (Llave Maestra), que modifica el proceso de identificación en los sistemas protegidos sólo con contraseñas en un Active Directory.
El software malicioso burla la autentificación de un solo factor en dichos sistemas, y permite que atacantes puedan lograr acceso total (por ejemplo, a servicios de acceso remoto).
Skeleton Key actúa paralelamente a la autentificación convencional, por ello los usuarios legítimos consiguen acceso, pero no se dan cuenta de la infección.
Con el fin de difundir el malware los atacantes requieren tener credenciales de administrador de dominio. Las formas de hacerse con ellas son variadas (mala política de cuentas, robo a las víctimas, etc).
Las únicas muestras de Skeleton Key descubiertas hasta la fecha carecen de persistencia, lo que hace que deba ser redistribuido de nuevo cuando se reinicia un controlador de dominio (un gran inconveniente para los malhechores).
Con el fin de hacer ineficaz este software, se recomienda el uso de autentificación con factores múltiples. Para detectar el malware será necesario supervisar los procesos y servicios que se ejecutan en las estaciones de trabajo y los servidores.
DELL ha publicado los detalles de esta amenaza en su Web, lo que ayudará a identificarla y tomar medidas adecuadas. (Información Ampliada)
Nuevamente sin palabras…
