ערן שמעוני
ערן שמעוניצילום: ללא קרדיט

חברת סייברארק (CyberArk) הישראלית חושפת הבוקר חולשת אבטחה חמורה ב-Windows המשפיעה על מאות מיליוני מחשבים.

המחקר החדש מראה איך תוקפים יכולים לנצל חולשת אבטחה בת עשור במנגנון Windows Group Policy Object (GPO) כדי לקבל מיידית גישה פריבילגית גבוהה על המכונה.

GPO הוא כלי מרכזי של מיקרוסופט המשמש ארגונים לניהול מדיניות קבוצתית (ניהול עמדות קצה ומשתמשים), בכל ארגון המשתמש במערכת הפעלה Windows. המנגנון מאפשר לנהל קבוצות של מחשבים על-פי מדיניות הנקבעת בידי מנהל ה-IT, כאשר כל מחשב מקבל עדכונים מה-GPO. המדיניות הנאכפת על המחשב קובעת הגבלות ואפשרויות שימוש במחשב (לדוגמה: להגדיר את אורך ומורכבות הסיסמה שמגדירים למשתמש מסוים, מתי אפשר לעשות Login למערכות מסוימות, ועוד).

חולשת האבטחה הזו היא game changer עבור התוקף. אחרי שהוא משיג אחיזה מסוימת באמצעות כלי פשוט כמו פישינג, התוקף יכול לנצל לרעה את ה-GPO כדי לנוע במהירות, מרמה של משתמש מקומי לרמת משתמש בעל הרשאה פריבילגית גבוהה – וכך לפתוח את הדלת כדי להשיג עוד ועוד הרשאות או לבצע מתקפה שלא ניתן לגלות אותה בכלל.

ברגע שהשיג הרשאות נוספות, התוקף יכול לנצל את החולשה לגניבת נתונים נרחבת, לחשיפה וניצול של הרשאות משתמש, ואף למתקפות כופר וריגול ארגוני.

למה מדובר בחולשה משמעותית:

כמעט כל ארגון משתמש במנגנון Windows GPO כדי לקבוע מדיניות לכל סוגי המכונות, החל ממדפסות ועד להתקני גיבוי. על מנת לפעול, המנגנון צריך להיות באינטראקציה עם הרבה רכיבים שונים של הרשת, מה שהופך אותו לחסם שצריך לעקוף ולמטרה אידאלית לתוקף כדי לסייע לו לחזק את אחיזתו ברשת הארגונית.

תוקפים יכולים לנצל את החולשה הזו כדי לעקוף ולשנות את מדיניות הקבוצה המקומית בווינדוס וכך להתחמק מפתרונות אבטחה קיימים כמו אנטי-נוזקה, הגנה על נקודות קצה ועוד. החולשה גם מצמצת דרמטית את מחזור המתקפה – דילוג קל יחסית של התוקף מאפשר גישה פריבילגית למערכות קריטיות.

מבחינת היקף המתקפה, החולשה משפיעה על כל מחשב עם Windows – 2008 או גרסה חדשה יותר – כלומר מאות מיליוני מכונות יכולות להיות מושפעות אם לא עודכנו כראוי.

דורון נעים וערן שמעוני, חוקרים במעבדות סייברארק, מדגישים כי "החולשה, מלבד היותה קלה למימוש ונפוצה בקרב רשתות מנוהלות במגזר העסקי והציבורי, בעיקר מקצרת משמעותית את מחזור התקיפה הממוצע (השלבים אותם תוקף צריך לעבור) ומגדילה את סיכוייו של התוקף להשלים את התקיפה בהצלחה." עוד ציינו, כי "GPO נכנס לשימוש לראשונה בימי Windows 2000. מאז עבר זמן והרבה שינויים לא חלו במנגנון. כלי GPO משמשים את מנהלי הרשת (Administrators) לאכוף את המדיניות שלהם בסביבת מחשוב מנוהלות המייצגות את רוב הארגונים מבוססי חלונות. כאשר עמדות הקצה מבקשות עדכון GPO מהשרת, דבר שקורה בצורה אוטומטית, נכנסת החולשה לפעולה ומאפשרת הסלמה לא מבוקרת של הרשאות".

החוקרים ממליצים לעקוב בזהירות אחרי תוכנות הרצות בהרשאות גבוהות ולוודא כי הן מעודכנות.