Слабое шифрование в Active Directory позволяет злоумышленникам без авторизации изменять пароли жертв и похищать их личности.
Как сообщили порталу SecurityLab эксперты из ИБ-компании Aorato, 95% крупнейших компаний, входящих в рейтинг Fortune 500, подвергаются потенциальной опасности из-за уязвимости в реализации службы каталогов Active Directory. По словам исследователей, несмотря на все меры безопасности, слабое шифрование позволяет злоумышленникам без авторизации изменять пароли жертв.
Проэксплуатировав уязвимость, с помощью нового пароля атакующий может выдавать себя за жертву и получать доступ к различным сервисам и контенту, требующим введения учетных данных жертвы, например, к Remote Desktop Protocol (RDP) Logon и Outlook Web Access (OWA).
К сожалению, несмотря на все протоколы безопасности, в журналах событий не фиксируется кража личности. Злоумышленник может осуществить подобную атаку незаметно для журнала событий, делая технологии SIEM и Big Data Security Analytics совершенно бесполезными.
«Миллионы представителей бизнеса слепо доверяют Active Directory как основе своей IT-инфраструктуры. К сожалению, правда состоит в том, что наивное доверие не оправдывает себя, и большинство представителей Fortune 500 уязвимы к утечке персональных и корпоративных данных, - сообщил вице-президент по исследованиям Aorato Тал Бери (Tal Be'ery). – До тех пор, пока компании не осознают угрозу, связанную с использованием Active Directory, и не создадут стратегию снижения рисков, мы будем и дальше наблюдать, как атакующие незаметно похищают информацию».
Эксперты из Aorato советуют представителям бизнеса:
· Обнаруживать аномалии в протоколах аутентификации.
· Идентифицировать атаки путем соотношения ненормального использования методов шифрования с контекстом, в котором используется личность жертвы.
· Принимать меры для сокращения поверхности атаки. Здесь необходимо помнить о том, что эти меры не устраняют атаку полностью и не ликвидируют ее первопричину.
Гравитация научных фактов сильнее, чем вы думаете