根據(jù)報道，微軟正在著手談判、意欲開出2億美元價碼對以色列安全企業(yè)Aorato進行收購——但頗具諷刺意味的是，就在上個禮拜后者才曝光稱微軟的Active Directory當中存在嚴重的安全漏洞。

[[116558]]

Aorato公司由來自以色列國防軍的前任黑客們所組建，其推出的產(chǎn)品專門負責檢測針對Active Directory的惡意攻擊活動。

根據(jù)《華爾街日報》的報道，有消息人士稱這筆收購交易將在兩個月之內(nèi)徹底結(jié)束。

該報道還提到，Aorato公司副總裁Tal Be’ery曾在詳盡評論一次攻擊活動時指出，Active Directory當中的安全漏洞可能允許攻擊者變更用戶的密碼內(nèi)容、甚至“徹底冒充成受害者以訪問各項企業(yè)服務，例如遠程桌面協(xié)議以及Outlook Web Access。”

他同時表示，該漏洞在最糟糕的情況下可能導致“日志事件忽略掉識別惡意攻擊活動的重要征兆，從而讓攻擊者得以避過事件日志并成功實現(xiàn)入侵，最終讓基于日志的SIEM(即安全信息與事件管理)及大數(shù)據(jù)安全分析機制在這類高級攻擊活動中變得無所適從。”

攻擊者能夠借此將用戶從Kerberos驗證機制推向已經(jīng)相當陳舊的Windows NT Lan管理器(簡稱NTLM)機制，Be’ery指出，這時候攻擊者就可以利用廣為人知的Pass-the-Hash手段繞過NTLM散列、從而變更受害者的密碼內(nèi)容。

微軟方面針對這一結(jié)論作出了回應，表示此類攻擊能夠受到Kerberos機制的嚴格控制、并援引官方說明文檔中的內(nèi)容解答了如何抵御這類攻擊活動。

不過微軟并沒有正面回應Be’ery在聲明中提到的核心問題，即包含特定NTLM活動監(jiān)控的Windows日志系統(tǒng)無法識別出此類攻擊。“也就是說，微軟沒有向用戶提出警告、沒有給出法務數(shù)據(jù)、甚至沒有說明真實世界中是否出現(xiàn)過這類攻擊活動，”他補充稱。