חברת סייברארק (CyberArk) חשפה היום (שני) חולשת אבטחה חמורה במערכת ההפעלה ווינדוס המשפיעה על מאות מיליוני מחשבים. המחקר החדש של החברה מראה איך תוקפים יכולים לנצל חולשת אבטחה בת עשור במנגנון Windows Group Policy Object (GPO) כדי לקבל מיידית גישה פריבילגית גבוהה על המכונה. לאחר מספר שעות, הודיעה חברת מייקרוסופט כי הוציאה עדכון אבטחה שאמור לפתור את הפירצה.
כאמור, מדובר בכלי מרכזי של מיקרוסופט המשמש ארגונים לניהול קבוצות של מחשבים על-פי מדיניות מסוימת, כאשר כל מחשב מקבל עדכונים מהמנגנון המדובר. המדיניות הנאכפת על המחשב קובעת הגבלות ואפשרויות שימוש במחשב וחולשת האבטחה הזו עלולה לגרום לנזק רב במידה והאקר ינצל אותה בעזרת אמצעים כמו מתקפת פישינג. כל למעשה, הוא יכול "לפתוח את הדלת" כדי להשיג עוד ועוד הרשאות או לבצע מתקפה שלא ניתן לגלות אותה בכלל.
כאמור, ברגע שהשיג הרשאות נוספות, התוקף יכול לנצל את החולשה לגניבת נתונים נרחבת, לחשיפה וניצול של הרשאות משתמש, ואף למתקפות כופר וריגול ארגוני.
כיום, כמעט כל ארגון משתמש במנגנון Windows GPO כדי לקבוע מדיניות לכל סוגי המכונות, החל ממדפסות ועד להתקני גיבוי. על מנת לפעול, המנגנון צריך להיות באינטראקציה עם הרבה רכיבים שונים של הרשת, מה שהופך אותו לחסם שצריך לעקוף ולמטרה אידאלית לתוקף כדי לסייע לו לחזק את אחיזתו ברשת הארגונית. תוקפים יכולים לנצל את החולשה הזו כדי לעקוף ולשנות את מדיניות הקבוצה המקומית בווינדוס וכך להתחמק מפתרונות אבטחה קיימים כמו אנטי-נוזקה, הגנה על נקודות קצה ועוד. החולשה גם מצמצת דרמטית את מחזור המתקפה – דילוג קל יחסית של התוקף מאפשר גישה פריבילגית למערכות קריטיות.
מבחינת היקף המתקפה, החולשה משפיעה על כל מחשב עם Windows – 2008 או גרסה חדשה יותר – כלומר מאות מיליוני מכונות יכולות להיות מושפעות אם לא עודכנו כראוי.
דורון נעים וערן שמעוני, חוקרים במעבדות סייברארק, הדגישו כי "החולשה, מלבד היותה קלה למימוש ונפוצה בקרב רשתות מנוהלות במגזר העסקי והציבורי, בעיקר מקצרת משמעותית את מחזור התקיפה הממוצע (השלבים אותם תוקף צריך לעבור) ומגדילה את סיכוייו של התוקף להשלים את התקיפה בהצלחה.
הם הוסיפו: "המנגנון נכנס לשימוש לראשונה בימי Windows 2000. מאז עבר זמן והרבה שינויים לא חלו במנגנון. כלי GPO משמשים את מנהלי הרשת לאכוף את המדיניות שלהם בסביבת מחשוב מנוהלות המייצגות את רוב הארגונים מבוססי חלונות. כאשר עמדות הקצה מבקשות עדכון GPO מהשרת, דבר שקורה בצורה אוטומטית, נכנסת החולשה לפעולה ומאפשרת הסלמה לא מבוקרת של הרשאות".
בחברה המליצו לעקוב בזהירות אחרי תוכנות הרצות בהרשאות גבוהות ולוודא כי הן מעודכנות.