חולשת אבטחה חמורה ב-Windows; משפיעה על מאות מיליוני מחשבים

הערב (ג') נחשפה חולשת אבטחה חמורה ב-Windows, שמשפיעה על מאות מיליוני מחשבים.

החולשה נחשפה במחקר חדש שפרסמו חוקרי סייברארק, שבו הם מראים כיצד תוקפים עלולים לנצל חולשת אבטחה בת עשור במנגנון GPO (ר"ת Windows Group Policy Object) כדי לקבל באופן מידי גישה פריבילגית גבוהה למכונה.

GPO הוא כלי מרכזי של מיקרוסופט, המשמש ארגונים לניהול מדיניות קבוצתית – ניהול עמדות קצה ומשתמשים, בכל ארגון המשתמש במערכת ההפעלה Windows. המנגנון מאפשר לנהל קבוצות של מחשבים על פי מדיניות שנקבעת בידי מנהל ה-IT, כאשר כל מחשב מקבל עדכונים מה-GPO. המדיניות הנאכפת על המחשב קובעת הגבלות ואפשרויות שימוש במחשב, לדוגמה: להגדיר את אורך ומורכבות הסיסמה שמגדירים למשתמש מסוים, מתי אפשר לעשות לוג אין למערכות מסוימות ועוד.

על פי החוקרים, "חולשת האבטחה הזו היא משנה משחק עבור התוקף: אחרי שהוא משיג אחיזה מסוימת, באמצעות מתקפה פשוטה כמו פישינג, ההאקר עלול לנצל לרעה את ה-GPO כדי לנוע במהירות – מרמה של משתמש מקומי לרמה של משתמש בעל הרשאה פריבילגית גבוהה. בדרך זו הוא יכול לפתוח את הדלת כדי להשיג עוד ועוד הרשאות – או לבצע מתקפה שלא ניתן לגלות אותה בכלל".

החוקרים מציינים ש-"ברגע שההאקר השיג הרשאות נוספות, הוא עלול לנצל את החולשה לגניבת נתונים נרחבת, לחשיפה וניצול של הרשאות משתמש, ואף למתקפות כופרה וריגול בארגון".

"החולשה מקצרת את זמן המתקפה ומעלה את סיכוייה להצליח"

דורון נעים וערן שמעוני, חוקרים במעבדות סייברארק, אמרו כי "המדובר בחולשה משמעותית: כמעט כל ארגון משתמש במנגנון Windows GPO כדי לקבוע מדיניות לכל סוגי המכונות, החל ממדפסות ועד להתקני גיבוי. על מנת שהוא יוכל לפעול, המנגנון צריך להיות באינטראקציה עם הרבה רכיבים שונים של הרשת. זה הופך אותו לחסם שצריך לעקוף ולמטרה אידאלית לתוקף – כדי לסייע לו לחזק את אחיזתו ברשת הארגונית". השניים ציינו ש-"תוקפים עלולים לנצל את החולשה הזו כדי לעקוף ולשנות את מדיניות הקבוצה המקומית ב-Windows, וכך להתחמק מפתרונות אבטחה קיימים, כמו אנטי נוזקה, הגנה על נקודות קצה ועוד". נעים ושמעוני הוסיפו כי "החולשה מצמצמת דרמטית את מחזור המתקפה – דילוג קל יחסית של התוקף מאפשר גישה פריבילגית למערכות קריטיות".

דורון נעים, חוקר במעבדת סייברארק. צילום: יח"צ

מבחינת היקף המתקפה, הסבירו, "החולשה משפיעה על כל מחשב עם Windows – בגרסת 2008 או בגרסה חדשה יותר. כלומר, מאות מיליוני מכונות עלולות להיות מושפעות – אם הן לא עודכנו כנדרש".

ערן שמעוני, חוקר במעבדת סייברארק. צילום: יח"צ

"החולשה, מלבד היותה קלה למימוש ונפוצה בקרב רשתות מנוהלות במגזר העסקי והציבורי", ציינו נעים ושמעוני, "בעיקר מקצרת משמעותית את מחזור התקיפה הממוצע, משמע – השלבים שאותם תוקף צריך לעבור. היא מגדילה את סיכוייו של התוקף להשלים את התקיפה בהצלחה. GPO נכנס לשימוש לראשונה בפעם הראשונה ב-Windows 2000. מאז עבר זמן והרבה שינויים לא חלו במנגנון. כלי GPO משמשים את מנהלי הרשת לאכוף את המדיניות שלהם בסביבת מחשוב מנוהלות, המייצגות את רוב הארגונים מבוססי Windows. כאשר עמדות הקצה מבקשות עדכון GPO מהשרת, דבר שקורה בצורה אוטומטית, נכנסת החולשה לפעולה ומאפשרת הסלמה לא מבוקרת של הרשאות".

החוקרים סיימו בציינם כי הם ממליצים לעקוב בזהירות אחרי תוכנות שרצות בהרשאות גבוהות ולוודא שהן מעודכנות.