אבטחת מידע ארגונית
סייברארק חושפת פירצה חמורה בת יותר מעשור במערכת Windows
CyberArk חשפה הערב חולשת אבטחה חמורה ב-Windows המשפיעה על מאות מיליוני מחשבים. המחקר שביצעה החברה מציג כיצד תוקפים יכולים לנצל חולשת אבטחה בת עשור במנגנון Windows Group Policy Object כדי לקבל מיידית גישה פריבילגית גבוהה על המכונה.
GPO הוא כלי מרכזי של מיקרוסופט המשמש ארגונים לניהול מדיניות קבוצתית (ניהול עמדות קצה ומשתמשים), בכל ארגון המשתמש במערכת הפעלה Windows. המנגנון מאפשר לנהל קבוצות של מחשבים על-פי מדיניות הנקבעת בידי מנהל ה-IT, כאשר כל מחשב מקבל עדכונים מה-GPO. המדיניות הנאכפת על המחשב קובעת הגבלות ואפשרויות שימוש במחשב (לדוגמה: להגדיר את אורך ומורכבות הסיסמה שמגדירים למשתמש מסוים, מתי אפשר לעשות Login למערכות מסוימות, ועוד).
"מעניין לציין כי ניתן לעדכן מדיניות של קבוצה באופן ידני באמצעות משתמש ללא הרשאות מורחבות. כך שאם אתה מצליח למצוא באג בתהליך עדכון מדיניות קבוצה, אתה יכול להפעיל אותו מתי שאתה רוצה – ולקצר את הדרך להתקפה אפשרית. במקום לחכות כ- 90 דקות (זמן ברירת המחדל עם תוספת של 30 דקות), שזהו הזמן לדחיפת עדכון מדיניות קבוצה חדש באזור דומיין, האדמין יכול לדחוף אותה מיידית", נכתב בדוח.
הדוח עצמו מתמקד בשירות מדיניות הקבוצה המקומי, אשר נקרא gpsvc. השירות זקוק להרשאות עליונות כדי להוציא לפועל את המשימות שלו, כך שהוא רץ במסגרת NT AUTHORITY\SYSTEM. זה חשוב מכיוון שאם אנחנו מצליחים למצוא פעולה בלתי בטוחה שהשירות מבצע, על פניו ניתן לנתב אותו מחדש לקובץ אחר באמצעות מתקפת file manipulation.
חולשת האבטחה הזו היא פירצה שמשנה את חוקי המשחק לטובת התוקפים. אחרי שתוקף משיג אחיזה מסוימת באמצעות כלי פשוט כמו פישינג, הוא יכול לנצל לרעה את ה-GPO כדי לנוע במהירות, מרמה של משתמש מקומי לרמת משתמש בעל הרשאה פריבילגית גבוהה – וכך לפתוח את הדלת כדי להשיג עוד ועוד הרשאות או לבצע מתקפה שלא ניתן לגלות אותה בכלל.
ברגע שהשיג הרשאות נוספות, התוקף יכול לנצל את החולשה לגניבת נתונים נרחבת, לחשיפה וניצול של הרשאות משתמש, ואף למתקפות כופר וריגול ארגוני.
למה מדובר בחולשה משמעותית: כמעט כל ארגון משתמש במנגנון Windows GPO כדי לקבוע מדיניות לכל סוגי המכונות, החל ממדפסות ועד להתקני גיבוי. על מנת לפעול, המנגנון צריך להיות באינטראקציה עם הרבה רכיבים שונים של הרשת, מה שהופך אותו לחסם שצריך לעקוף ולמטרה אידאלית לתוקף כדי לסייע לו לחזק את אחיזתו ברשת הארגונית. תוקפים יכולים לנצל את החולשה הזו כדי לעקוף ולשנות את מדיניות הקבוצה המקומית בווינדוס וכך להתחמק מפתרונות אבטחה קיימים כמו אנטי-נוזקה, הגנה על נקודות קצה ועוד. החולשה גם מצמצת דרמטית את מחזור המתקפה – דילוג קל יחסית של התוקף מאפשר גישה פריבילגית למערכות קריטיות.
מבחינת היקף המתקפה, החולשה משפיעה על כל מחשב עם Windows 2008 או גרסה חדשה יותר – כלומר מאות מיליוני מכונות יכולות להיות מושפעות אם לא עודכנו כראוי.
ערן שמעוני ודורון נעים, חוקרים במעבדות סייברארק, מדגישים כי: "החולשה, מלבד היותה קלה למימוש ונפוצה בקרב רשתות מנוהלות במגזר העסקי והציבורי, בעיקר מקצרת משמעותית את מחזור התקיפה הממוצע (השלבים אותם תוקף צריך לעבור) ומגדילה את סיכוייו של התוקף להשלים את התקיפה בהצלחה."
עוד ציינו, כי "GPO נכנס לשימוש לראשונה בימי Windows 2000. מאז עבר זמן והרבה שינויים לא חלו במנגנון. כלי GPO משמשים את מנהלי הרשת לאכוף את המדיניות שלהם בסביבת מחשוב מנוהלות המייצגות את רוב הארגונים מבוססי חלונות. כאשר עמדות הקצה מבקשות עדכון GPO מהשרת, דבר שקורה בצורה אוטומטית, נכנסת החולשה לפעולה ומאפשרת הסלמה לא מבוקרת של הרשאות".
הפירצה דווחה למיקרוסופט ב- 17 ביוני, 2019, ועדכון CVE-2020-1317 שוחרר ב-9 בינואר 2020
החוקרים ממליצים לעקוב בזהירות אחרי תוכנות הרצות בהרשאות גבוהות ולוודא כי הן מעודכנות.