Ученые из отдела Counter Threat Unit компании Dell открыли новый тип вируса, способного обходить пароль авторизации в Active Directory. Программу окрестили названием Skeleton Key.
При помощи данного вируса хакер подключаетсяк Active Directory, в том случае, если система использует пароль как единственный фактор идентификации. Для входа в этом случае принимается любая комбинация, принимаемая системой как правильный пароль.
Впервые данный вирус был обнаружен в клиентской сети, использующей пароль для подключения к сервисам VPN, а также электронной почте. После подключения к сети злоумышленника реальный пользователь подключается к своей учетной записи без каких либо изменений. Также, использую эту программу, можно подключится от имени администратора Active Directory.
Преимущество Skeleton Key состоит в почти абсолютной невозможности его обнаружения. Все дело в том, что при нормальном использовании он не выдает своего наличия в системе. Active Directory распространенный продукт, используемый в корпоративной среде, что способствует широким возможностям для вируса, к примеру ипользованию его как корпоративного шпиона. При получении VPN или физического доступа к сети, с легкостью можно просматривать данные финансовой отчетности или любого другого отдела.
Правда у нового вируса есть и слабости: в случае перезагрузки контроллера доменов вирус придется ставить заново. Изученная версия вируса совместима с Windows 64x.
Защититься от Skeleton Key поможет многофакторная идентификация в контроллере доменов.
Материалы по теме
Отчет о безопасности продуктов Microsoft
Advance Notification Service будет перенастроен