חברת הסייבר הישראלית סייברארק (CyberArk) חושפת הלילה (שלישי) חולשת אבטחה חמורה בת יותר מעשור במערכת ההפעלה ווינדוס אצל מאות מיליוני משתמשים ברחבי העולם. הפרצה, שתוקנה על ידי מיקרוסופט, אפשרה לתוקפים לנצל חולשת אבטחה במנגנון GPO - כלי מרכזי המשמש ארגונים לניהול עמדות הקצה והמשתמשים בו - ולקבל הרשאה כמעט מלאה.
כמעט כל ארגון משתמש במנגנון Windows GPO כדי לקבוע מדיניות לכל סוגי המכונות, החל ממדפסות ועד להתקני גיבוי. בעזרת הכלי ניתן להגדיר מאפיינים של כל מחשב, מדפסת או מכשיר אחר שנשלטים על ידיו. למשל, מאפשר להגדיר את אורך ומורכבות הסיסמה שמגדירים למשתמש מסוים, צורת העבודה של מנגנוני האנטי-וירוס, מתי אפשר לעשות Login למערכות מסוימות, ועוד.
לדברי סייברארק, חולשת האבטחה הזו משנה את כללי המשחק עבור התוקף. אחרי שהוא משיג אחיזה מסוימת באמצעות כלי פשוט כמו פישינג (התחזות), הוא יכול לנצל לרעה את ה-GPO כדי לנוע במהירות, מרמה של משתמש מקומי לרמת משתמש בעל הרשאה פריבילגית גבוהה – וכך לפתוח את הדלת כדי להשיג הרשאות נוספות, או לבצע מתקפה שלא ניתן לגלות.
מבחינת היקף המתקפה, מדובר במחשבים המריצים את ווינדוס Server 2008, מערכת הפעלה שמיקרוסופט השיקה ב-2008, וחולשת האבטחה נוגעת לכל ההפצות מאז ועד היום. בתוך כך, בחברת האבטחה מדגישים ככל הידוע להם לא ניתן לנצל את החולשה באותו אופן על משתמש פרטי בבית, אלא אם אתם משתמשים במחשב מהעבודה בבית ומחוברים לרשת הארגונית, וכמובן גם כאשר אתם מגיעים למשרד.
דורון נעים וערן שמעוני, חוקרים במעבדות סייברארק, מדגישים כי "החולשה, מלבד היותה קלה למימוש ונפוצה בקרב רשתות מנוהלות במגזר העסקי והציבורי, בעיקר מקצרת משמעותית את מחזור התקיפה הממוצע (השלבים אותם תוקף צריך לעבור) ומגדילה את סיכוייו של התוקף להשלים את התקיפה בהצלחה״.
עוד ציינו, כי "GPO נכנס לשימוש לראשונה בימי Windows 2000. מאז עבר זמן והרבה שינויים לא חלו במנגנון. כלי GPO משמשים את מנהלי הרשת (Administrators) לאכוף את המדיניות שלהם בסביבת מחשוב מנוהלות המייצגות את רוב הארגונים מבוססי חלונות. כאשר עמדות הקצה מבקשות עדכון GPO מהשרת, דבר שקורה בצורה אוטומטית, נכנסת החולשה לפעולה ומאפשרת הסלמה לא מבוקרת של הרשאות".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו