破解 Active Directory 惡意程式 Skeleton Key 出現

大企業都會以 Windows 作為檔案伺服器，並使用 Active Directory 認證用戶身份。然而最近就出現一個惡意程式 Skeleton Key ，可繞過 Active Directory 認證機制，不需登入也可存取檔案。
這個漏洞由 Dell SecureWorks 發現，Dell SecureWorks 其實就是 Dell 在2011年收購的優化安全委外管理服務供應商(Managed Security Services Provider; MSSP) SecureWorks。Skeleton Key 的惡意程式會在作為 Active Directory 的 Domain Controller 的 Windows 主機的記憶體中常駐，繞過 Active Directory 認證機制直接存取檔案。由於一般用戶仍然可正常登入，因此極難被發現。Dell SecureWorks 公開了被 Skeleton Key 感染的系統檔案樣本 ole64.dll 和 msuta64.dll ，一如其名，Skeleton Key 目前只會感染64bit版本的 Windows 。換言之如果用 Linux 下的 Samba 取代作為 Active Directory 的 Domain Controller 的 Windows 主機，便不會被感染。