חברת הסייבר הישראלית סייברארק (CyberArk) חשפה פרצת אבטחה חמורה שמאפשרת לתוקפים מזדמנים לחדור לתשתית הענן של חברות וארגונים המשתמשות במיקרוסופט Azure.
באמצעות הפרצה ניתן להשיג גישה לשרתים ואפליקציות רגישות של משתמשי הענן של מיקרוסופט, לרבות משתמשים ב-אופיס365. במצטבר מדובר במאות מיליונים של משתמשי קצה.
הפרצה, המכונה BlackDirect, מאפשרת לתוקף לגנוב זהות של משתמש, מבלי שהמשתמש ירגיש בכך. כשמדובר במשתמשים עסקיים, התוקף עלול להשיג בדרך זו הרשאות למשתמשים בעלי סמכויות, בעיקר אנשי IT בארגון, שדרך החשבונות שלהם אפשר לבצע מגוון פעולות הרסניות החל ממחיקת כל המשתמשים בארגון, דרך הוספת משתמשים עם הרשאת מנהל שאינם קיימים, גניבת נכסי המידע הרגישים ביותר בארגון ועד להשבתה של כל סביבת הענן של אותו ארגון.
לפי טכניקת המתקפה, התוקף מנצל את פרצת האבטחה באמצעות קישור זדוני שהוא שולח למותקף, לחיצה על הקישור תעביר באופן אוטומטי את זהות המשתמש המותקף אל התוקף ללא צורך בהרצת קוד. טכניקה נוספת לניצול הפרצה היא כאשר התוקף הצליח להשתלט על אתר אמין בעיני המשתמש, ופרצת האבטחה מאפשרת לתוקף לגנוב את הזהות של המשתמשים שגולשים לתומם באתר.
לאחר גניבת הזהות, המשתמש מועבר אוטומטית לאתר שהוא מכיר כאמין ולא יודע שהותקף. לדברי עומר צרפתי, חוקר במעבדות סייבארק: "פוטנציאל התקיפה שזיהינו גדול במיוחד כיוון שהוא מאפשר לעקוף את מנגנון האימות הדו-שלבי (MFA) בענן של מיקרוסופט, כיוון שהחולשה גונבת את היישות הדיגיטלית שכבר אומתה על ידי המערכת, לאחר הסיסמא והאימות הדו-שלבי".
בעקבות פניית סייברארק, מיקרוסופט תיקנה את הפרצה.
ממיקרוסופט ישראל נמסר בתגובה: "האפליקציות המוזכרות בדו״ח טופלו כבר בנובמבר והלקוחות נותרו מוגנים".
[עדכון 13:45] - הידיעה עודכנה עם תגובת מיקרוסופט.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו