Ученые из отдела Counter Threat Unit компании Dell открыли новый тип вируса, способного обходить пароль авторизации в Active Directory. Программу окрестили названием Skeleton Key.


При помощи данного вируса хакер подключаетсяк Active Directory, в том случае, если система использует пароль как единственный фактор идентификации. Для входа в этом случае принимается любая комбинация, принимаемая системой как правильный пароль.


Впервые данный вирус был обнаружен в клиентской сети, использующей пароль для подключения к сервисам VPN, а также электронной почте. После подключения к сети злоумышленника реальный пользователь подключается к своей учетной записи без каких либо изменений. Также, использую эту программу, можно подключится от имени администратора Active Directory.


Преимущество Skeleton Key состоит в почти абсолютной невозможности его обнаружения. Все дело в том, что при нормальном использовании он не выдает своего наличия в системе. Active Directory распространенный продукт, используемый в корпоративной среде, что способствует широким возможностям для вируса, к примеру ипользованию его как корпоративного шпиона. При получении VPN или физического доступа к сети, с легкостью можно просматривать данные финансовой отчетности или любого другого отдела.
Правда у нового вируса есть и слабости: в случае перезагрузки контроллера доменов вирус придется ставить заново. Изученная версия вируса совместима с Windows 64x.

Защититься от Skeleton Key поможет многофакторная идентификация в контроллере доменов.

 

 

Материалы по теме

Отчет о безопасности продуктов Microsoft

Advance Notification Service будет перенастроен