חשבתם שסיסמאות מורכבות בארגון מספיק חזקות? תוכנה זדונית חדשה התגלתה בסביבת AD

כמו שרבים מכם יודעים, בסביבת Active Directory יש צורך באימות מול שרת על מנת לבצע Log on לסביבת העבודה. Malware חדש שהתגלה וזוכה לשם "Skeleton Key" יאפשר לאחר התקנתו לבצע כניסה לרשת ללא צורך באימות.

נשמע רע?

חוקרי אבטחת מידע של חברת Dell מסבירים כי ניתן להריץ בעזרת Psexec קבצי DLL על שרת מרוחק ופגיע, למחוק את השאריות ולתת לנוזקה מרחב מחיה בתוך ה- Active Directory. לאחר ההפצה יהיה ניתן להיכנס log on לדומיין עם כל שם משתמש וללא צורך באימות (סיסמה).

ועכשיו לחדשות המרגיעות…

הנוזקה אינה ממש מתקינה את עצמה בתוך ה- AD ואחרי reboot של השרת היא אינה שורדת עוד. מצד שני, יהיה קשה מאוד לגלות אותה מכיוון שאינה משאירה סימנים גלויים ובזמן הזה ניתן לחגוג …

עוד קושי בהתקנת Skeleton Key הוא הצורך לשימוש בחשבון והרשאות אדמיניסטרטור של הדומיין שכמובן לא אמורים להיות זמינים בקלות.

החוקרים מוסיפים כי הנוזקה למעשה חסרת תועלת בסביבה של אוטנטיקציה כפולה (או יותר) ותקפה רק למערכות AD בעלות אימות יחיד של סיסמה.

 

ניתן לקרוא בהרחבה – כאן

דילוג לתוכן