$
חדשות טכנולוגיה

סייבר ארק חשפה בעיית אבטחה חמורה בווינדוס; מיקרוסופט: "אולי נתקן בעתיד"

טכניקת הפריצה מאפשרת לתוקפים לנצל את התכנון של מעבד אינטל MPX כדי לפעול להביא לשינוי בהתנהגות של מערכת ההפעלה; מיקרוסופט בתגובה לגילוי: "אולי נתקן בגרסאות עתידיות"

רפאל קאהאן 19:2818.10.17
מחקר חדש של סייבר ארק הישראלית שפורסם היום (ד'). חושף טכניקת פריצה חדשה שלה השלכות גם ברמה העסקית בשל פיתוח חומרה מיוחד שעשו מיקרוסופט ואינטל. הטכניקה מאפשרת ניצול לרעה של תכנון שבב של אינטל. כך, ניתן לגרום לשינוי בהתנהגות של מערכת ההפעלה ולהריץ קוד באפליקציות ווינדוס 10.

 

טכניקת המתקפה מכונה BoundHook, והיא מאפשרת לתוקפים לנצל את התכנון של מעבד אינטל MPX כדי לפעול בשיטת hooking (שינוי התנהגות של מערכת ההפעלה) על אפליקציות במצב משתמש. כך ניתן להריץ קוד מכל תהליך מבלי להתגלות על ידי אפליקציות אנטי וירוס ואמצעי אבטחה אחרים. הן במערכת ההפעלה ווינדוס 10, ובמכשירים עם מערכת הפעלה שפועלת על בסיס 64 ביט.

 

הטכניקה מאפשרת להאקר שכבר הצליח לחדור למחשב כלשהו להישאר סמוי ולחמוק מזיהוי על ידי תוכנות אבטחה, אנטי-וירוסים, פיירוול או מערכות סייבר הדור הבא. מחוקרי סייבר ארק נמסר: "מה שמרתק בטכניקת המתקפה הזו, זה שהיא ממנפת את התכנון עצמו של שבב אינטל שנבנה בדיוק על מנת למנוע מתקפות כאלה – באמצעות שימוש ברכיב של אינטל נגד עצמו. תוקפים שיעבדו בטכניקה זו יוכלו לעבוד מתחת לרדאר של מנגנוני ההגנה של מיקרוסופט ואינטל".

 

זו הטכניקה השנייה שסייבר ארק חושפת לאחרונה ושמשמשת לתקיפת ווינדוס. הטכניקה הראשונה שנחשפה נקראת GhostHook והיא עוקפת לגמרי את פעילותה של מיקרוסופט למניעת מתקפות ברמת ה-kernel (כגון PatchGuard, שכבת ההגנה של מיקרוסופט בווינדוס 10) ומשתמשת בגישת ה-hooking הזו כדי להשתלט על מכשירים בליבת מערכת ההפעלה.

 

מערכת ווינדוס 10 משתמשת בטכנולוגיה של אינטל כדי לאבטח אפליקציות באמצעות גילוי מקרים חריגים של boundary exception (שנפוצים במהלך מתקפת buffer overflow). שיטת BoundHook משתמשת ב-boundary exception בתור האמצעי עצמו לספק לתוקפים שליטה על התקני ווינדוס 10.

 

עוד נמסר ל"כלכליסט" מסייבר ארק כי לטכניקת BoundHook יכולה להיות השפעה משמעותית מאוד על אבטחה ארגונית: לווינדוס 10 יש כיום מעל 400 מיליון משתמשים – על בסיס הנחת עבודה, שהארכיטקטורה של מערכת ההפעלה מונעת מתוקפים לעשות hooking ולהריץ קוד מתוך אפליקציות.

 

ווינדוס 10 ווינדוס 10 צילום: בלומברג

 

לפי סייבר ארק, "מיקרוסופט ואינטל משקיעות משאבים עצומים כדי לגלות את השלב השני במתקפה". עוד נמסר כי "אם יש מחשב מודבק, בו נזהה את התוקף אחרי שהדביק את המכונה. השלב השני הוא ניסיון להסתתר על המכונה אליה חדר. הטכניקה הזו בעצם מאפשרת להאקר להישאר סמוי ולהסתתר מכל סוג של ניטור או בקרה. הנחת העבודה של כל מומחי הסייבר כיום, היא שכל מחשב יהיה נגוע בשלב כלשהו. השאלה היא תוך כמה זמן נגלה את זה".

 

הטכניקה אם כן מונעת זיהוי של הפעילות של ההאקר בתוך המחשב המותקף. כתוצאה מכך, הטכניקה תאפשר לתוקפים להתקדם בתוך המערכות הארגוניות מבלי שיבחינו בהם בשום אמצעי אבטחה כלשהו. בסייבר ארק מעריכים שזה יוביל בסופו של דבר להפצה ופיתוח של נוזקות מתוחכמות יותר – בהן משתמשות בד"כ מתקפות מתקדמות היזומות על ידי מדינות.

 

סייבר ארק פנתה כבר במהלך הגילוי הראשון של GhostHook למיקרוסופט, אך מדיניותה של החברה היא שכל תקיפה שמתבצעת לאחר ההדבקה הראשונית של מערכת ההפעלה או המחשב אינם נחשבים כפרצת אבטחה ולכן אינם מטופלים. עם זאת מיקרוסופט הסבירה שהיא עשויה להתייחס לבעיה בגרסאות עתידיות של ווינדוס. מסייבר ארק נמסר שהם לא עדכנו את מיקרוסופט בגילוי החדש מכיוון שלהערכתם התשובה של החברה תהיה דומה, "לא עשינו disclosure הפעם כיוון שמדיניות החולשות של מיקרוסופט היא שכל מה שמתבצע אחרי ההדבקה אינו מוגדר כחולשה".

 

גורם במיקרוסופט העולמית אמר כי "אופן הפעולה המתואר בדו"ח השיווקי אינו מייצג פגיעות אבטחה (Vulnerability) במערכת ההפעלה אלא תקיפה במחשב שכבר התבצעה אליו חדירה (Compromised), ולאחר שהופץ אליו הקוד הזדוני - Post exploitation. אנו מעודדים לקוחות לשמור תמיד על המערכות שלהם מעודכנות להגנה הטובה ביותר". 

בטל שלח
    לכל התגובות
    x