Hero Image

Microsoft: Russische Malware kapert ADFS, um sich als beliebige Person unter Windows anzumelden

Quelle: microsoft.com (Englisch)

Microsoft-Sicherheitsforscher haben eine Post-Compromise-Funktion entdeckt, die wir MagicWeb nennen und die von einem Bedrohungsakteur, den wir als NOBELIUM bezeichnen, verwendet wird, um den dauerhaften Zugang zu kompromittierten Umgebungen aufrechtzuerhalten. NOBELIUM ist nach wie vor sehr aktiv und führt parallel mehrere Kampagnen durch, die auf Regierungsorganisationen, Nichtregierungsorganisationen (NGOs), zwischenstaatliche Organisationen (IGOs) und Think Tanks in den USA, Europa und Zentralasien abzielen. Das Microsoft Threat Intelligence Center (MSTIC) geht davon aus, dass MagicWeb wahrscheinlich während einer laufenden Kompromittierung eingesetzt und von NOBELIUM genutzt wurde, um den Zugang während strategischer Sanierungsschritte aufrechtzuerhalten, die einer Räumung zuvorkommen könnten.

NOBELIUM hat den Missbrauch von Identitäten und Zugangsberechtigungen als Methode zur Aufrechterhaltung der Persistenz eingesetzt, und eine spezielle Fähigkeit wie MagicWeb ist für den Akteur nicht neu: Im September 2021 veröffentlichte Microsoft eine Post-Exploitation-Fähigkeit namens FoggyWeb mit ähnlichen Methoden und Absichten wie MagicWeb. FoggyWeb war in der Lage, die Konfigurationsdatenbank von kompromittierten AD FS-Servern zu exfiltrieren, Token-Signaturzertifikate und Token-Entschlüsselungszertifikate zu entschlüsseln und zusätzliche Malware-Komponenten herunterzuladen und auszuführen. MagicWeb geht über die Sammelfähigkeiten von FoggyWeb hinaus, indem es den verdeckten Zugriff direkt ermöglicht. MagicWeb ist eine bösartige DLL, die die Manipulation der in den von einem Active Directory Federated Services (AD FS)-Server generierten Token übergebenen Ansprüche ermöglicht. Sie manipuliert die Benutzerauthentifizierungszertifikate, die für die Authentifizierung verwendet werden, nicht aber die Signierzertifikate, die bei Angriffen wie Golden SAML verwendet werden.

NOBELIUM war in der Lage, MagicWeb einzusetzen, indem es sich zunächst Zugang zu hoch privilegierten Anmeldeinformationen verschaffte und sich dann seitlich bewegte, um administrative Berechtigungen für ein AD FS-System zu erlangen. Es handelt sich nicht um einen Angriff über die Lieferkette. Der Angreifer hatte Administratorzugriff auf das AD FS-System und ersetzte eine legitime DLL durch seine eigene bösartige DLL, so dass die Malware von AD FS anstelle der legitimen Binärdatei geladen wurde. Die Hintertür wurde von Microsofts Detection and Response Team (DART) in Zusammenarbeit mit MSTIC und Microsoft 365 Defender Research während einer laufenden Untersuchung des Vorfalls entdeckt. Microsoft gibt diese Informationen mit dem Einverständnis des Kunden weiter. Zum Zeitpunkt dieser Untersuchung scheint MagicWeb sehr zielgerichtet zu sein.

Wie Domänencontroller können auch AD FS-Server Benutzer authentifizieren und sollten daher mit dem gleichen hohen Sicherheitsniveau behandelt werden. Kunden können sich gegen MagicWeb und andere Hintertüren schützen, indem sie eine ganzheitliche Sicherheitsstrategie umsetzen, die auch die AD FS hardening guidance umfasst. Im Fall dieser speziellen Entdeckung ist MagicWeb ein Schritt in einer viel größeren Eindringlingskette, die einzigartige Erkennungs- und Verhinderungsszenarien bietet.

Bei allen kritischen Infrastrukturen wie AD FS muss sichergestellt werden, dass Angreifer keinen administrativen Zugriff erlangen. Wenn Angreifer erst einmal administrativen Zugriff erlangt haben, stehen ihnen viele Möglichkeiten zur Verfügung, um das System weiter zu kompromittieren, Aktivitäten zu verschleiern und zu verbergen. Wir empfehlen, dass eine solche Infrastruktur isoliert wird, nur über spezielle Administratorkonten zugänglich ist und regelmäßig auf Änderungen überwacht wird. Zu den weiteren Sicherheitsmaßnahmen, die diesen und andere Angriffe verhindern können, gehört die Hygiene der Anmeldeinformationen, um seitliche Bewegungen zu verhindern. AD FS ist ein lokaler Server, und wie bei allen lokalen Servern können Bereitstellungen veraltet sein und/oder nicht gepatcht werden, und sie können von Kompromittierungen der lokalen Umgebung und seitlichen Bewegungen betroffen sein. Aus diesen Gründen wird die Migration zu einer Cloud-basierten Identitätslösung wie Azure Active Directory für die Verbundauthentifizierung empfohlen, da sie zuverlässige Sicherheit bietet. Weitere Informationen finden Sie weiter unten im Abschnitt Abschwächung. Obwohl wir davon ausgehen, dass diese Funktion nur in begrenztem Umfang genutzt wird, geht Microsoft davon aus, dass andere Akteure ähnliche Methoden anwenden könnten, und empfiehlt daher den Kunden, die in diesem Blog enthaltenen Hinweise zur Absicherung und Schadensbegrenzung zu prüfen.

Wie MagicWeb die Authentifizierung unterläuft

MagicWeb ist eine Post-Compromise-Malware, die nur von einem Bedrohungsakteur eingesetzt werden kann, nachdem er sich hochgradig privilegierten Zugang zu einer Umgebung verschafft und sich seitlich zu einem AD FS-Server bewegt hat. Um das Ziel zu erreichen, den dauerhaften Zugriff auf eine Umgebung aufrechtzuerhalten, indem die Authentifizierung für jedes Benutzerkonto auf dem AD FS-Server überprüft wird, hat NOBELIUM eine Backdoor-DLL erstellt, indem es die legitime Datei Microsoft.IdentityServer.Diagnostics.dll kopiert hat, die bei AD FS-Vorgängen verwendet wird. Die legitime Version dieser Datei ist von Microsoft katalogsigniert und wird normalerweise vom AD FS-Server beim Start geladen, um Debugging-Funktionen bereitzustellen. Die von NOBELIUM manipulierte Version der Datei ist unsigniert. Da die Bedrohungsakteure über hoch privilegierte Zugriffsrechte verfügten, die ihnen den Zugriff auf den AD FS-Server ermöglichten, hätten sie eine Vielzahl von Aktionen in der Umgebung durchführen können, aber sie entschieden sich speziell für einen AD FS-Server, um ihre Ziele der Persistenz und des Informationsdiebstahls während ihrer Operationen zu erleichtern.

Nachdem der administrative Zugriff auf einen AD FS-Server durch Erhöhung der Berechtigungen und laterale Bewegungen erlangt wurde, ist das Laden von NOBELIUMs bösartiger Microsoft.IdentityServer.Diagnostics.dll in den AD FS-Prozess möglich, indem C:\Windows\AD FS\Microsoft.IdentityServer.Servicehost.exe.config bearbeitet wird, um ein anderes öffentliches Token anzugeben, das steuert, was in den AD FS-Prozess geladen wird, wenn er gestartet wird. Da AD FS eine .NET-Anwendung ist, lädt es die in der Konfigurationsdatei angegebenen DLLs aus dem Global Assembly Cache (GAC). Durch Ändern des Tokens in der Konfiguration hat der Angreifer AD FS angewiesen, die bösartige DLL zu laden. Das Abfangen und Manipulieren von Ansprüchen durch MagicWeb ermöglicht es dem Akteur, Token zu generieren, die es dem Angreifer ermöglichen, AD FS-Richtlinien (Rollen-, Geräte- und Netzwerkrichtlinien) zu umgehen und sich als beliebiger Benutzer mit beliebigen Ansprüchen anzumelden, einschließlich Multifaktor-Authentifizierung (MFA).

Screenshot eines Ausschnitts aus einer Konfigurationsdatei.

Abbildung 1. C:\Windows\AD FS\Microsoft.IdentityServer.Servicehost.exe.config lädt Microsoft.IdentityServer.Diagnostics.dll

Screenshot eines Abschnitts einer Konfigurationsdatei, in der der PublicKeyToken teilweise unkenntlich gemacht wurde

Abbildung 2. NOBELIUM verwendet ein anderes öffentliches Token als die legitime Microsoft.IdentityServer.Diagnostics.dll und weist AD FS an, nach einer anderen Datei im GAC zu suchen

Teilweiser Screenshot einer Konfigurationsdatei mit dem bösartigen PublicKeyToken von MagicWeb (teilweise geschwärzt) und einem legitimen Token

Abbildung 3. Nahaufnahme von Microsoft.IdentityServer.Servicehost.exe.config, die den bösartigen PublicKeyToken von MagicWeb im Vergleich zum PublicKeyToken der legitimen Version der DLL zeigt

Screenshot des Windows File Explorer, der das Verzeichnis Microsoft.IdentityServer.Diagnostics. mit zwei Ordnern zeigt. Der Ordnername, der sich auf die bösartige Datei bezieht, ist teilweise unkenntlich gemacht

Abbildung 4. Die Verzeichnisse im GAC auf einem mit MagicWeb infizierten Server; die bösartige Datei Microsoft.IdentityServer.Diagnostics.dll und die legitime Datei befinden sich in unterschiedlichen Verzeichnissen

Um zu verstehen, wie NOBELIUM den AD FS-Prozess mit der MagicWeb-Malware unterwandern kann, ist es wichtig zu verstehen, wie AD FS-Ansprüche funktionieren. AD FS erweitert die Möglichkeit, Single Sign-On-Funktionen, die innerhalb einer einzelnen Sicherheits- oder Unternehmensgrenze verfügbar sind, auf internetbasierte Anwendungen anzuwenden, um Kunden, Partnern und Lieferanten eine optimierte Benutzererfahrung beim Zugriff auf die webbasierten Anwendungen eines Unternehmens zu bieten. AD FS stützt sich auf claims-based authentication, um die Identität des Benutzers und seine Berechtigungsansprüche zu überprüfen. Diese Ansprüche werden in ein Token verpackt, das für die Authentifizierung verwendet werden kann. MagicWeb schleust sich in den Anspruchsprozess ein, um bösartige Aktionen außerhalb der normalen Rollen eines AD FS-Servers durchzuführen.

Diagramm mit Symbolen und Pfeilen, die zusammenfassen, wie AD FS-Ansprüche funktionieren

Abbildung 5. Wie die AD FS-Anspruchspipeline ein Token für einen Benutzer ausgibt, der eine Verbundanwendung betritt

Security Assertion Markup Language (SAML) verwendet x509-Zertifikate, um Vertrauensbeziehungen zwischen Identitätsanbietern und Diensten herzustellen und Token zu signieren und zu entschlüsseln. Diese x509-Zertifikate enthalten EKU-Werte (Enhanced Key Usage), die angeben, für welche Anwendungen das Zertifikat verwendet werden soll. Ein EKU mit einem Object Identifier (OID)-Wert von 1.3.6.1.4.1.311.20.2.2 würde zum Beispiel die Verwendung einer SmartCard-Anmeldung ermöglichen. Unternehmen können benutzerdefinierte OIDs erstellen, um die Verwendung von Zertifikaten weiter einzuschränken.

Die Umgehung der MagicWeb-Authentifizierung erfolgt durch die Übergabe einer nicht standardmäßigen Enhanced Key Usage OID, die in der MagicWeb-Malware während einer Authentifizierungsanforderung für einen bestimmten User Principal Name hartcodiert ist. Wenn dieser eindeutige, fest kodierte OID-Wert angetroffen wird, veranlasst MagicWeb die Authentifizierungsanforderung, alle Standard-AD FS-Prozesse (einschließlich Überprüfungen für MFA) zu umgehen und die Ansprüche des Benutzers zu validieren. MagicWeb manipuliert die Benutzerauthentifizierungszertifikate, die bei SAML-Anmeldungen verwendet werden, und nicht die Signierzertifikate für einen SAML-Anspruch, die bei Angriffen wie Golden SAML verwendet werden.

Screenshot der Registerkarte "Details" eines Benutzerzertifikats, wobei die OID teilweise unkenntlich gemacht wurde

Abbildung 6. Beispiel für ein von MagicWeb akzeptiertes Benutzerzertifikat; die hervorgehobene Zahl unter "Unknown Key Usage" ist eine von zwei in MagicWeb fest einprogrammierten OIDs

Screenshot der Registerkarte Zertifizierungspfad eines Benutzerzertifikats

Abbildung 7. Beispiel für eine Benutzerzertifikatskette, die eine ungültige digitale Signatur aufweist, aber dennoch zur Authentifizierung funktioniert

NOBELIUM verwendet für jedes Ziel eindeutige Handlungen, daher ist es sehr wahrscheinlich, dass auch die OIDs und öffentlichen Token für jedes Ziel eindeutig sind. Wir haben diese OIDs und Token in diesem Bericht unkenntlich gemacht. Bitte lesen Sie den Abschnitt Jagdanleitung, um zu erfahren, wie Sie nach Varianten dieses Angriffs suchen können.

Wie man diese Bedrohung entschärfen kann

Die Fähigkeit von NOBELIUM, MagicWeb einzusetzen, hing vom Zugriff auf hochprivilegierte Anmeldeinformationen ab, die administrativen Zugang zu den AD FS-Servern hatten, was ihnen die Möglichkeit gab, auf den Systemen, auf die sie Zugriff hatten, beliebige bösartige Aktivitäten durchzuführen.

Es ist von entscheidender Bedeutung, dass Sie Ihre AD FS-Server als Tier 0-Anlage behandeln und sie mit denselben Schutzmaßnahmen schützen, die Sie auch auf einen Domänencontroller oder eine andere kritische Sicherheitsinfrastruktur anwenden würden. AD FS-Server bieten Authentifizierung für konfigurierte vertrauende Parteien, so dass ein Angreifer, der administrativen Zugriff auf einen AD FS-Server erhält, die vollständige Kontrolle über die Authentifizierung für konfigurierte vertrauende Parteien erlangen kann (einschließlich Azure AD-Tenants, die für die Verwendung des AD FS-Servers konfiguriert sind). Eine sorgfältige Handhabung der Anmeldeinformationen ist entscheidend für den Schutz und die Verhinderung der Offenlegung von hoch privilegierten Administratorkonten. Dies gilt insbesondere für leichter zu kompromittierende Systeme wie Workstations mit Kontrollen wie Anmeldebeschränkungen und zur Verhinderung seitlicher Bewegungen zu diesen Systemen mit Kontrollen wie der Windows Firewall.

Die Migration zur Azure Active Directory (Azure AD)-Authentifizierung wird empfohlen, um das Risiko zu verringern, dass Kompromittierungen vor Ort seitlich auf Ihre Authentifizierungsserver übergreifen. Kunden können die folgenden Hinweise zur Migration verwenden: