חברת CyberArk חושפת חולשת אבטחה חמורה במערכת ההפעלה Windows

חברת סייברארק (CyberArk) חושפת חולשת אבטחה חמורה ביותר במערכת ההפעלה Windows המשפיעה על מאות מיליוני מחשבים מכל רחבי העולם. חולשת האבטחה התגלתה במנגנון ה-Windows Group Policy Object (בקצרה: GPO) והיא מאפשרת להאקרים לקבל הרשאות גבוהות במיוחד למחשב הנתקף מאוד מהר.

GPO הוא כלי מרכזי של מיקרוסופט המשמש ארגונים לניהול מדיניות קבוצתית (ניהול עמדות קצה ומשתמשים), בכל ארגון המשתמש במערכת הפעלה Windows. המנגנון מאפשר לנהל קבוצות של מחשבים על-פי מדיניות הנקבעת בידי מנהל ה-IT, כאשר כל מחשב מקבל עדכונים מה-GPO. המדיניות הנאכפת על המחשב קובעת הגבלות ואפשרויות שימוש במחשב (לדוגמה: להגדיר את אורך ומורכבות הסיסמה שמגדירים למשתמש מסוים, מתי אפשר לעשות Login למערכות מסוימות, ועוד).

חולשת האבטחה הזו היא Game Changer עבור התוקף. אחרי שהוא משיג אחיזה מסוימת באמצעות כלי פשוט כמו פישינג, התוקף יכול לנצל לרעה את ה-GPO כדי לנוע במהירות, מרמה של משתמש מקומי לרמת משתמש בעל הרשאה פריבילגית גבוהה – וכך לפתוח את הדלת כדי להשיג עוד ועוד הרשאות או לבצע מתקפה שלא ניתן לגלות אותה בכלל. ברגע שהשיג הרשאות נוספות, התוקף יכול לנצל את החולשה לגניבת נתונים נרחבת, לחשיפה וניצול של הרשאות משתמש, ואף למתקפות כופר וריגול ארגוני.

למה מדובר בחולשה משמעותית

כמעט כל ארגון משתמש במנגנון Windows GPO כדי לקבוע מדיניות לכל סוגי המכונות, החל ממדפסות ועד להתקני גיבוי. על מנת לפעול, המנגנון צריך להיות באינטראקציה עם הרבה רכיבים שונים של הרשת, מה שהופך אותו לחסם שצריך לעקוף ולמטרה אידאלית לתוקף כדי לסייע לו לחזק את אחיזתו ברשת הארגונית. תוקפים יכולים לנצל את החולשה הזו כדי לעקוף ולשנות את מדיניות הקבוצה המקומית בווינדוס וכך להתחמק מפתרונות אבטחה קיימים כמו אנטי-נוזקה, הגנה על נקודות קצה ועוד. החולשה גם מצמצת דרמטית את מחזור המתקפה – דילוג קל יחסית של התוקף מאפשר גישה פריבילגית למערכות קריטיות.

נזק בהיקף עצום

מבחינת היקף המתקפה, החולשה משפיעה על כל מחשב עם Windows 2008 או גרסה חדשה יותר – כלומר מאות מיליוני מכונות יכולות להיות מושפעות אם לא עודכנו כראוי. מדובר למעשה בשילוב של כמות עצומה של מחשבים פגועים לצד פגיעה ישירה באחד מן המנגנונים החשובים ביותר במערכת ההפעלה של מיקרוסופט (Microsoft).

כאשר מסתכלים על התמונה המלאה, חולשת האבטחה הזו משפיעה לא מעט גם על המשתמש הביתי הפשוט. תארו לכם תרחיש בו האקרים מנצלים את החולשה הזו על מנת לגשת למידע של ארגון כמו בנק או אפילו מערכות סליקת אשראי – פרטי אשראי של משתמשים רבים עלולים לדלוף לרשת. חולשה זו מאפשרת לתוקפים לשבש את הרשת הארגונית ולגרום לנזק רב ועצום.

החוקרים של סייברארק ממליצים לעקוב בזהירות אחרי תוכנות הרצות בהרשאות גבוהות ולוודא כי הן מעודכנות.

"החולשה, מלבד היותה קלה למימוש ונפוצה בקרב רשתות מנוהלות במגזר העסקי והציבורי, בעיקר מקצרת משמעותית את מחזור התקיפה הממוצע (השלבים אותם תוקף צריך לעבור) ומגדילה את סיכוייו של התוקף להשלים את התקיפה בהצלחה." עוד ציינו, כי "GPO נכנס לשימוש לראשונה בימי Windows 2000. מאז עבר זמן והרבה שינויים לא חלו במנגנון. כלי GPO משמשים את מנהלי הרשת  (Administrators) לאכוף את המדיניות שלהם בסביבת מחשוב מנוהלות המייצגות את רוב הארגונים מבוססי חלונות. כאשר עמדות הקצה מבקשות עדכון GPO מהשרת, דבר שקורה בצורה אוטומטית, נכנסת החולשה לפעולה ומאפשרת הסלמה לא מבוקרת של הרשאות".

ערן שמעוני ודורון נעים, חוקרים במעבדות סייברארק

אנו מברכים את חברת סייברארק על גילוי פרצת האבטחה וממליצים לארגונים השונים לבדוק את מערך ההרשאות של הארגון וכמו כן לבצע את עדכוני האבטחה הרלוונטיים של מערכת ההפעלה.

קרדיט לסרטון ה-Demo: יח"צ

טוני מלינקוביץ'
טוני הוא העורך הראשי שלנו כאן באתר, עם ידע רחב בחומרה ומקורות מהירים, טוני הוא גם הכתב המהיר ביותר שלנו, בנוסף לכתבות המעולות של טוני הוא גם אחראי על רוב הביקורות שלנו באתר וגם על המלל וחוות הדעת על חלק מסיקורי הוידאו שלנו.
דילוג לתוכן