کمیته رکن چهارم – محققان امنیتی بدافزار جدیدی بانام Skeleton Key را شناسایی کردند که میتواند احراز هویت سامانه اکتیو دایرکتوری را دور بزند.
به گزارش کمیته رکن چهارم به نقل از سایبریان،بنابر گزارش محققان امنیتی بدافزار Skeleton Key به هکرها اجازه میدهد تا از سامانه اکتی و دایرکتوری عبور کنند. مشکل اکتیو دایرکتوری استفاده از تنها یک روش احراز هویت است. بهبیاندیگر اکتیو دایرکتوری تنها از رمزعبور برای تأمین امنیت استفاده میکند.
Skeleton Key بر روی سیستم کلاینتی شناسایی شد که از رمزعبور برای دسترسی به ایمیل و سرویس vpn استفاده میکرد. هنگامیکه بدافزار در حافظه اکتیو دایرکتوری مستقر شد، به هکر دسترسی نامحدود به سرویسهای از راه دور میدهد و میتواند به دادههای شخصی کاربران و کارمندان دسترسی پیدا کند. بدافزار برای پرهیز از شناسایی، اجازه میدهد تا سرویسها بدون اختلال به کاربران ارائه شوند.
Skeleton Key بار ترافیکی شبکه را تغییر نداده و آن را به دیگر آدرسها هدایت نمیکند، به همین دلیل شناسایی آن توسط ابزارهای IPS/IDS مشکل است.
البته این بدافزار شامل نقاط ضعفی نیز میشود. ازجمله آنکه تنها بر روی سامانههای ۶۴ بیت کار میکند و باید در هر بار شروع Domain Controller دوباره خود را از ابتدا در حافظه مستقر کند.
منبع:سایبریان
