Skeleton Key демонстрирует слабость статических паролей

Программа, способная обходить паролевую защиту служб удаленного доступа, выявлена исследователями из Dell SecureWorks в клиентской сети. Это ПО получило название Skeleton Key (Отмычка), оно внедряется в область памяти, используемую контроллерами Active Directory, и позволяет, наряду с нормальной аутентификацией других пользователей, выдавать преступника за любого из них.

Сотрудники Отдела противодействия угрозам (Counter Threat Unit, CTU) Dell SecureWorks сообщили, что программа использует для проникновения идентификационные данные, похищенные из критических серверов и рабочих станций администраторов, и может оставаться невидимой для защиты. «Skeleton Key обходит аутентификацию и не генерирует сетевого трафика. Как результат, базирующиеся в сети системы обнаружения и предотвращения вторжений не обнаруживают эту угрозу», — говорится в предупреждении, выпущенном CPU.

Эксперты описывают там способы детектирования Skeleton Key, но рекомендуют менеджерам ИТ предпринять превентивные меры защиты: «Многофакторная аутентификация для всех решений удаленного доступа, включая VPN и удаленную электронную почту, не позволит взломщикам обходить однофакторную защиту или выдавать себя за других, используя похищенные статические идентификаторы».

Вирусный аналитик Джошуа Кэннелл (Joshua Cannell) из Malwarebytes считает находку Dell SecureWorks тревожным звонком для всего бизнеса. «Наиболее важным значением Skeleton Key является осознание необходимости использования многофакторной аутентификации при любой возможности. В этом конкретном случае, наличие двухфакторной аутентификации позволило бы эффективно отразить атаку вредоносной программы», — заявил он.