מה כל כך מסוכן בפרצת האבטחה החדשה שחשפה מיקרוסופט?

החברה שחררה הודעה על פרצה חמורה במערכות ההפעלה האחרונות שלה והמלצה להתקין עדכון אבטחה ששוחרר היום. מה הסיכון לארגונים ומשתמשים? לפי מומחה ממעבדת קספרסקי, הפרצה עשויה לסלול אוטוסטרדת האקרים וירטואלית אל שרתי הארגוןמיקרוסופט הודיעה שאיתרה (בסיוע מומחה אבטחה עצמאי מאיטליה) מספר פרצות אבטחה במערכות Windows 7, Vista ואפילו בגירסת הבטא של Windows 8. החברה שחררה עדכון אבטחה שביכולתו להסיר את האיום הפוטנציאלי ממשתמשים ומארגונים. אבל מהו אותו איום פוטנציאלי? כיצד הוא עובד ועד כמה הוא יכול להזיק?

עדכון האבטחה שהפיצה מיקרוסופט מתקן כמה פרצות במערכות ההפעלה שלה, אולם המסוכנת מכולן נקראת Remote Desktop pre-auth ring0 use-after-free RCE והיא מתמקדת בפרוטוקול הגישה למחשבים מרחוק, או בלעז – RDP. כלי RDP הוא רכיב שמאפשר תקשורת מרחוק לשולחן עבודה וירטואלי. עובדים רבים בארגונים קטנים ובינוניים המפעילים רשת ארגונית, מקבלים גישה מרחוק – מהבית. אלא שגישה זו חשופה לעיתים לרשתות לא מאובטחות (כשהעובדים מתחברים, למשל, מבית קפה) או שאינן מבוססות VPN.
ארגונים רבים מאפשרים לעובדיהם להתחבר לשרתי החברה מהבית ולקבל תצוגה של שולחן העבודה של המחשב שלהם במשרד לצורך עבודה (כאשר העובדים נמצאים בנסיעות, בחו"ל או בבית). כדי לעשות זאת העובד צריך להתחבר לשרתים ולהקליד שם משתמש וסיסמה, כשאבטחת התקשורת נשענת על אבטחת שרתי הארגון. לרוע המזל, הפרצה שאותרה מקורה בבאג של מיקרוסופט שמאפשר להאקרים להתחבר אף הם לשרתי החברה מרחוק ולפרוץ אותם.
Ring0 פירושו שהקוד הפגום ממוקם עמוק בתוך הקרנל – ליבת מערכת ההפעלה, שכבת הבסיס שלה. לשם השוואה, רוב היישומים שפועלים על מערכת ההפעלה עושים זאת בשכבת ring3 או user-mode, שכבות שניתנות לתמרון בצורה קלה יותר. Use-after-free הוא הרכיב הפגום שדרכו תתבצע החדירה. סוג הפגם הוא כזה שמאוד מקשה על איתור מראש. בעוד פגמים אחרים במערכת ההפעלה אותרו ותוקנו לפני שנים, פגם זה נשאר סמוי מעיני מפתחי מיקרוסופט.
RCE הוא סוג ההתקפה שיכול האקר לבצע דרך הפרצה המדוברת. ההתקפה היא Remote Code Execution, כלומר הזרקת קוד זדוני בצורה חופשית, מה שיאפשר להאקר להחדיר למערכת כל מה ירצה ולגנוב ממנה כל מידע שיבחר. זוהי המשמעות של Remote Desktop pre-auth ring0 use-after-free RCE: פרצת אבטחה קריטית לחלוטין.
בהרבה מקרים לא ממהרים משתמשים להתקין עדכון אבטחה חדש – משום שהם באמצע העבודה, מתעצלים לשמור את כל המסמכים הפתוחים שלהם ולבצע הפעלה מחדש. נקודות התורפה החדשות שאותרו עלולות להפוך את שרתי הארגון ומחשבי המשתמשים לפרוצים לחלוטין עבור האקרים.
קורט באומגרטנר, מומחה אבטחה במעבדת קספרסקי, מסביר שחיבורי RDP נמצאים גבוה ברשימת המטרות של האקרים ברחבי העולם. בסתיו האחרון זוהתה התולעת Morto, שמתבייתת במיוחד על כלי RDP, ואשר תקפה שירותי גישה מרחוק דרך רשתות פתוחות. התולעת פגעה בארגונים בכל הגדלים וחדרה אליהם באמצעות כלי שמנחש סיסמאות. היות ומשתמשים בארגונים רבים בחרו סיסמאות פשוטות לחשבון מנהל המערכת, הצליחה Morto לחדור אליהם בקלות. אחרי פרסום המקרה עלתה המודעות לחשיבות אבטחת כלי RDP בארגון. מתוך כך, קריטי שחברות יתקינו את עדכון האבטחה האחרון של מיקרוסופט בהקדם האפשרי כדי למנוע חדירה וגניבת מידע.

דילוג לתוכן