根據(jù)報(bào)道，微軟正在著手談判、意欲開(kāi)出2億美元價(jià)碼對(duì)以色列安全企業(yè)Aorato進(jìn)行收購(gòu)——但頗具諷刺意味的是，就在上個(gè)禮拜后者才曝光稱(chēng)微軟的Active Directory當(dāng)中存在嚴(yán)重的安全漏洞。

[[116558]]

Aorato公司由來(lái)自以色列國(guó)防軍的前任黑客們所組建，其推出的產(chǎn)品專(zhuān)門(mén)負(fù)責(zé)檢測(cè)針對(duì)Active Directory的惡意攻擊活動(dòng)。

根據(jù)《華爾街日?qǐng)?bào)》的報(bào)道，有消息人士稱(chēng)這筆收購(gòu)交易將在兩個(gè)月之內(nèi)徹底結(jié)束。

該報(bào)道還提到，Aorato公司副總裁Tal Be’ery曾在詳盡評(píng)論一次攻擊活動(dòng)時(shí)指出，Active Directory當(dāng)中的安全漏洞可能允許攻擊者變更用戶(hù)的密碼內(nèi)容、甚至“徹底冒充成受害者以訪問(wèn)各項(xiàng)企業(yè)服務(wù)，例如遠(yuǎn)程桌面協(xié)議以及Outlook Web Access。”

他同時(shí)表示，該漏洞在最糟糕的情況下可能導(dǎo)致“日志事件忽略掉識(shí)別惡意攻擊活動(dòng)的重要征兆，從而讓攻擊者得以避過(guò)事件日志并成功實(shí)現(xiàn)入侵，最終讓基于日志的SIEM(即安全信息與事件管理)及大數(shù)據(jù)安全分析機(jī)制在這類(lèi)高級(jí)攻擊活動(dòng)中變得無(wú)所適從。”

攻擊者能夠借此將用戶(hù)從Kerberos驗(yàn)證機(jī)制推向已經(jīng)相當(dāng)陳舊的Windows NT Lan管理器(簡(jiǎn)稱(chēng)NTLM)機(jī)制，Be’ery指出，這時(shí)候攻擊者就可以利用廣為人知的Pass-the-Hash手段繞過(guò)NTLM散列、從而變更受害者的密碼內(nèi)容。

微軟方面針對(duì)這一結(jié)論作出了回應(yīng)，表示此類(lèi)攻擊能夠受到Kerberos機(jī)制的嚴(yán)格控制、并援引官方說(shuō)明文檔中的內(nèi)容解答了如何抵御這類(lèi)攻擊活動(dòng)。

不過(guò)微軟并沒(méi)有正面回應(yīng)Be’ery在聲明中提到的核心問(wèn)題，即包含特定NTLM活動(dòng)監(jiān)控的Windows日志系統(tǒng)無(wú)法識(shí)別出此類(lèi)攻擊。“也就是說(shuō)，微軟沒(méi)有向用戶(hù)提出警告、沒(méi)有給出法務(wù)數(shù)據(jù)、甚至沒(méi)有說(shuō)明真實(shí)世界中是否出現(xiàn)過(guò)這類(lèi)攻擊活動(dòng)，”他補(bǔ)充稱(chēng)。