IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un nouveau malware baptisé « Skeleton Key » permet de contourner les mots de passe


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 875
    Points : 86 930
    Points
    86 930
    Billets dans le blog
    2
    Par défaut Un nouveau malware baptisé « Skeleton Key » permet de contourner les mots de passe
    Un nouveau malware baptisé « Skeleton Key » permet de contourner les mots de passe, il est rendu inefficace par les systèmes d’authentification multi-facteur

    Des chercheurs de l'équipe de sécurité SecureWorks de DELL ont découvert un malware capable de contourner l'authentification sur les systèmes Active Directory (AD).

    Le malware, baptisé « Skeleton Key », permet aux cybercriminels de contourner les systèmes AD qui mettent en œuvre l'authentification à un seul facteur. En d'autres termes, les systèmes qui s'appuient sur les mots de passe seuls pour la sécurité.

    Il a été découvert sur le réseau d'un client qui utilise des mots de passe pour l'accès aux services de messagerie et VPN. Le malware, une fois déployé comme un patch en mémoire sur le contrôleur de domaine AD d'un système, a donné aux cybercriminels un accès illimité aux services d'accès à distance. Pendant ce temps, les utilisateurs légitimes ont pu continuer à avoir leurs accès normalement, sans se rendre compte de la présence ou de l'usurpation d'identité du malware.

    Le malware ne s'installe pas réellement sur le système de fichiers, ce qui rend difficile sa détection. L'identifier en utilisant la surveillance de réseau traditionnelle ne fonctionne pas non plus à cause du fait que Skeleton Key ne génère pas de trafic réseau.

    Une fois sur un réseau, il permet aux attaquants de se faire passer pour n'importe quel utilisateur sans alerter les autres ou restreindre l'accès des utilisateurs légitimes.
    « Le contournement d'authentification de Skeleton Key donne aussi aux acteurs de la menace un accès physique pour se connecter et déverrouiller les systèmes qui authentifient les utilisateurs sur les contrôleurs de domaine AD compromis », ont déclaré les chercheurs de l’équipe de sécurité.

    Skeleton a cependant quelques faiblesses qui peuvent l'empêcher d'infecter un réseau.
    Tout d'abord, il nécessite des informations d'identification d'administrateur de domaine pour le déploiement. Les chercheurs ont observé que les acteurs de la menace déploient Skeleton Key en utilisant des identifiants volés des serveurs critiques, des postes de travail des administrateurs, et des contrôleurs de domaines ciblés.

    Une autre faiblesse du malware est qu'il nécessite un redéploiement constant pour le faire fonctionner à chaque fois que le contrôleur de domaine est démarré.

    Les chercheurs expliquent qu'après démarrage, « les acteurs de la menace ont utilisé d'autres logiciels malveillants d'accès à distance déjà déployés sur le réseau de la victime pour redéployer Skeleton Key sur les contrôleurs de domaine ». Un simple redémarrage du système pourrait donc neutraliser le malware. Mais la plus grande faiblesse de Skeleton est qu'il est inutile dès lors qu'une entreprise utilise un système d'authentification à deux facteurs pour se connecter aux serveurs, VPN, emails et autres.

    La dernière note des chercheurs sur le malware indique qu'il est soupçonné d'être seulement compatible avec les versions 64 bits de Windows.

    Source : Dell SecureWorks

    Et vous ?

    En résumé, il faut passer à un système d’authentification multi-facteur, les mots de passe seuls n’offrant aucune protection. Qu’en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre émérite

    Homme Profil pro
    Ingénieur Réseaux
    Inscrit en
    Juin 2012
    Messages
    877
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur Réseaux
    Secteur : Conseil

    Informations forums :
    Inscription : Juin 2012
    Messages : 877
    Points : 2 427
    Points
    2 427
    Par défaut
    Hum intéressant.

    Mais bon en principe, on ne se limite pas à uniquement authentifier les clients par l'AD.

    Les PCs ont généralement des certificats avec une CA interne.

    L'utilisation de Kerberos peut être sympa pour les systèmes critiques également malgré la durée de la transaction complète.
    Si la réponse vous a été donnée, pensez au Tag .
    Un petit aide à se sentir utile. Merci.

    "La folie. C'est de faire et refaire la même chose en espérant que le résultat sera différent."
    Albert Einstein

  3. #3
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Marrant le nom du malware qui semble faire référence au tout premier Zelda (la clé squelette ouvrait toutes les portes).

  4. #4
    Membre expert
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    Novembre 2005
    Messages
    1 186
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 76
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : Novembre 2005
    Messages : 1 186
    Points : 3 086
    Points
    3 086
    Par défaut
    Citation Envoyé par Uther Voir le message
    Marrant le nom du malware qui semble faire référence au tout premier Zelda (la clé squelette ouvrait toutes les portes).
    Je crois bien que ce qu'on appelle "skeleton key" est, tout simplement la clé passe partout des serrures anciennes des hôtels. Une clé toute plate (d'où son nom) qui rentre dans toutes les serrures, l'introduction des autres clés étant limitée par le profil variable.
    "Toute l'histoire de l'informatique n'a été que l'histoire des systèmes d'exploitations" (Le Manifeste du PC)

  5. #5
    Membre expert
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    Novembre 2005
    Messages
    1 186
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 76
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : Novembre 2005
    Messages : 1 186
    Points : 3 086
    Points
    3 086
    Par défaut
    Pas très nouveau comme technique (http://www.bellamyjc.org/fr/pwdnt.html), cela me semble juste adapté au piratage.

    Il est sûr que considérer que la confidentialité des données est assuré par le login/password d'AD est complètement chimérique. Avec des conteneurs cryptés (Truecrypt) le coffre à données est blindé.
    "Toute l'histoire de l'informatique n'a été que l'histoire des systèmes d'exploitations" (Le Manifeste du PC)

Discussions similaires

  1. Sécurité : un nouveau malware cible principalement les serveurs Tomcat
    Par Cedric Chevalier dans le forum Sécurité
    Réponses: 5
    Dernier message: 29/11/2013, 11h14
  2. Janicab.A le nouveau malware sur OS X signé d'un Apple ID valide
    Par Stéphane le calme dans le forum Apple
    Réponses: 1
    Dernier message: 19/07/2013, 12h44
  3. Réponses: 57
    Dernier message: 19/07/2013, 03h25
  4. Réponses: 1
    Dernier message: 01/11/2011, 15h51
  5. Réponses: 27
    Dernier message: 07/12/2009, 19h55

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo