Вирус Skeleton Key взламывает любой пароль в Active Directory

16.01.2015. Автор: agucul

Вирус Skeleton Key взламывает любой пароль в Active Directory

Исследователи отдела Counter Threat Unit (CTU) компании Dell обнаружили новый тип вируса, который обходит защиту пароля при авторизации в Active Directory.

Новая вредоносная программа получила название Skeleton Key.
Вирус позволяет злоумышленнику подключиться к Active Directory, если система использует пароль как единственный фактор идентификации. При этом для входа используется любая комбинация, которая принимается как правильный пароль.

Вредоносная программа впервые была обнаружена в клиентской сети, которая использует пароли для подключения к электронной почте и VPN-сервисам.

«Skeleton Key вводится как внутренний патч памяти на контроллере доменов AD жертвы и позволяет владельцу авторизоваться в качестве любого пользователя, в то время как реальный владелец учётной записи продолжает подключаться без изменений» — говорится в уведомлении. Исследователи также добавили, что с помощью данной программы можно подключиться от имени администратора Active Directory.

Главным преимуществом Skeleton Key является то, что вирус практически невозможно обнаружить, так как при аккуратном использовании он никак себя не проявляет. Active Directory — это очень популярный продукт в корпоративной среде, поэтому подобный вирус открывает широкие возможности для, например, корпоративного шпионажа.

Получив физический или VPN-доступ к сети, можно авторизоваться и просмотреть данные финансовой отчётности, HR-отдела или отдела перспективных разработок.
Вооружённого Skeleton Key взломщика от любой информации в крупной компании отделяет всего лишь один подкупленный или обманутый сотрудник.

У программы обнаружены и определённые слабости — после перезагрузки контроллера доменов вирус приходится устанавливать заново. Также изученная версия вируса совместима только с 64-битной Windows, что также накладывает определённые ограничения.
Наиболее надёжной защитой от Skeleton Key в Dell считают использование многофакторной идентификации в контроллере доменов — это делает вирус абсолютно безвредным.

Комментарии закрыты.