破解 Active Directory 惡意程式 Skeleton Key 出現

大企業都會以 Windows 作為檔案伺服器,並使用 Active Directory 認證用戶身份。然而最近就出現一個惡意程式 Skeleton Key ,可繞過 Active Directory 認證機制,不需登入也可存取檔案。20150117key02
這個漏洞由 Dell SecureWorks 發現,Dell SecureWorks 其實就是 Dell 在2011年收購的優化安全委外管理服務供應商(Managed Security Services Provider; MSSP) SecureWorks。Skeleton Key 的惡意程式會在作為 Active Directory 的 Domain Controller 的 Windows 主機的記憶體中常駐,繞過 Active Directory 認證機制直接存取檔案。由於一般用戶仍然可正常登入,因此極難被發現。Dell SecureWorks 公開了被 Skeleton Key 感染的系統檔案樣本 ole64.dll 和 msuta64.dll ,一如其名,Skeleton Key 目前只會感染64bit版本的 Windows 。換言之如果用 Linux 下的 Samba 取代作為 Active Directory 的 Domain Controller 的 Windows 主機,便不會被感染。20150117key01

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *