מחקר חדש חשף טכניקת פריצה לחלונות 10 המאפשרת לתוקף לפעול במערכת מבלי להתגלות

חברת אבטחת המידע סייברארק חושפת פירצת אבטחה במערכת ההפעלה של מיקרוסופט שעלולה לאפשר לפורץ שחדר לתוכה, לשעבד תהליכי מערכת ללא אפשרות לגילוי. לסיפור המלא

יוסי לוי | 18.10.2017

חלונות 10 | צילום: חלונות 10

צוות מעבדות סייברארק (CyberArk Labs) מפרסם בשעה האחרונה תוצאות מחקר שנערך שם ובמסגרתו נתגלתה שיטת תקיפה חדשה המסוגלת לעקוף לחלוטין את מערכות ההגנה של מערכת ההפעלה חלונות 10 שרצה על מעבדי אינטל משנת 2015 ואילך. עיקרי המחקר: תוקף שהצליח לפרוץ לנקודת קצה בארגון עלול להריץ יישומים מבלי להתגלות - תוך כדי ניצול מנגנון האבטחה הייחודי שמיקרוסופט ואינטל פיתחו כדי להגן על מערכת ההפעלה.

המחקר שנושא את השם BoundHook הוא החלק הראשון בסדרת מחקרים שהחברה עתידה לפרסם, שעיקרם בדיקת טכניקות של מתקפות סייבר אשר קורות בסביבות של "אחרי-פריצה", קרי מצבים שבהם תוקף כבר פרץ לנקודת קצה בארגון.

בחברה מבהירים כי הטכניקה מאפשרת לתוקפים להתקדם במערכות הקורבנות מבלי שיבחינו בהם בשום אמצעי אבטחה מכל סוג שהוא, ובכללותן : תוכנות אנטי-וירוס, תוכנות Firewall אישיות, HIPS, ומוצרים רבים חדשים לאבטחת נקודות קצה הדור הבא (next-gen). טכניקת ה-BoundHook שנחשפה שם עוקפת לגמרי את פעילותה של מיקרוסופט שנועדה למנוע מתקפות ברמת ה- kernel (כגון - PatchGuard שכבת הגנה של מיקרוסופט) ומשתמשת בגישת ה-hooking הזו כדי להשתלט על מכשירים בשכבת ה- kernel.

כך מסבירים זאת בסייברארק: "מערכת Windows 10 משתמשת באינטל כדי לאבטח אפליקציות באמצעות גילוי מקרים חריגים של boundary exception (שהינם נפוצים במהלך מתקפת buffer overflow - BoundHook משתמש ב-boundary exception בתור האמצעי עצמו לספק לתוקפים שליטה על התקני Windows 10". דווקא אותו פיתוח המשלב חומרה, הוא זה שמאפשר לעשות הוקינג בצורה שלא ניתנת לגילוי כרגע. כלומר: תוקפים שחדרו כבר למערכת, יוכלו לשעבד אותה בטכניקה זו ולעבוד מתחת לראדאר של מנגנוני ההגנה של מיקרוסופט ואינטל.

ממיקרוסופט העולמית ביקשו להרגיע את הרוחות ולהדגיש כי "אופן הפעולה המתואר בדו"ח השיווקי אינו מייצג פגיעות אבטחה (Vulnerability) במערכת ההפעלה אלא תקיפה במחשב שכבר התבצעה אליו חדירה (Compromised), ולאחר שהופץ אליו הקוד הזדוני - Post exploitation. אנו מעודדים לקוחות לשמור תמיד על המערכות שלהם מעודכנות להגנה הטובה ביותר."

אז איך אפשר להתמודד עם האיום הזה? קובי בן נעים, חוקר סייבר בכיר במעבדות סייברארק הסביר לנו: "הדרך להתמודד עם ההתקפה זו ועם תהליכי פוסט הדבקה דומים היא להגן על משתמשים פריווילגים (בעלי הרשאות חזקות). הפעולה המשמעותית הראשונה שהתוקפים יבצעו אחרי ההדבקה היא לגנוב בדרך כזו או אחרת חשבונות של משתמשים פריווילגים. חשבונות פריווילגים יאפשרו לתוקף גם לבצע בפועל מורכבות הדורשות הרשאות גבוהות, וגם גישה למשאבי חברה קריטיים. הגנה על החשבונות הרגישים האלו היא האלף בית של אבטחת מידע אירגוני ולצערנו אנחנו רואים שוב ושוב שתוקפים עוברים את השלב של הדבקה בודדת הניתנת להכלה, להדבקה רשתית קטסטרופלית בעזרת גניבת החשבונות הפריווילגים.

איך עסקים יכולים להתמודד עם זה?

"מטה הסייבר הלאומי הכין נהלים מעולים הנתונים למימוש גם בארגונים קטנים ובינוניים. זו התחלה מצויינת... אחר כך ניתן להוסיף מערכות שיודעת להתמודד בדיוק עם האיומים האלו של פוסט הדבקה".

ומה לגבי משתמשים ביתיים?

"פה הבעיה יותר קשה לטיפול, כולנו במחשבים האישיים שלנו מוגדרים כמשתמשים פריווילגים... שאם לא כן יהיה מאוד קשה להתקין תוכנות ולנהל את המחשב בשוטף".

האם יש אפשרות. לגלות האם הותקפנו בעזרת החולשה הזו?

"לא. כרגע היתרון הוא בהחלט בצד התוקף, המטרה של תוקפים במימוש החולשה הזו היא להשאר בלתי ניתנים לזיהוי".

על פי סייברארק, לטכניקת BoundHook יכולה להיות השפעה משמעותית מאוד על אבטחה ארגונית - כזו שקשה עדיין להעריך את תוצאותיה. החוקרים מעריכים כי שחקנים מדינתיים עלולים לנצל את החולשה לטובת פעילות זדונית סמוייה שסיכוייה להתגלות קלושים.