חוקרים ישראלים זיהו פרצת אבטחה במוצר נפוץ של אינטל

פרצת אבטחה חמורה זוהתה במוצר של אינטל בשם Rapid Storage Technology Service. על פי החוקרים הישראלים שמצאו את הפרצה, היא מאפשרת להאקרים להחדיר נוזקה למחשב ולהפעיל אותה בחסות הטכנולוגיה של אינטל. מדובר בטכניקה שנקראת DLL Hijacking או "חטיפת DLL", אותם קבצי DLL מופעלים במסגרת ווינדוס עם הרשאות מנהל, מה שגורם לאפליקציות אנטי-וירוס להתעלם מהם.

הפרצה ניתנת לניצול בגרסאות ישנות יותר של הטכנולוגיה, ובאינטל ממליצים לשדרג אותה בהקדם, החברה הפיצה עדכון אבטחה אותו ניתן למצוא כאן.

הפרצה מאפשרת להריץ נוזקות בחסות מערכת ההפעלה קרדיט: shutterstock

יש לציין שאת הפרצה ניתן לנצל רק אחרי שהתוקף קיבל הרשאות מנהל, וזאת גם כנראה הסיבה שבאינטל ציינו שרמת הסיכון היא בינונית בלבד. ואולם מדובר בהתקפה שלדברי פלג הדר, אחד מחוקרי חברת SafeBreach שמצאה אותה, מסכנת את המחשבים לאחר מכן. "הפרצה שמאפשרת להריץ קוד זדוני בתוך הפרוסס של התוכנה של אינטל", מסביר הדר לכלכליסט.

החברה החלה להתעמק בנושא חטיפת DLL כי לדברי הדר מדובר בסוגיה חשובה מאוד עבור מפתחים. "אנחנו רוצים להעלות את המודעות של המפתחים ושל המשתמשים לסוג הפרצות האלה שקלות מאוד לניצול בידי גורמים זדוניים. פיתוח יותר מאובטח יועיל גם למשתמשים וגם למפתחים", אומר הדר.

הבעיה שבה נתקלים המשתמשים במקרים האלה היא שבכל פעם שהמחשב טוען את התוכנה של אינטל, זו תמשיך לטעון מצידה את קבצי ה-DLL המזויפים שמכילים נוזקה. כך שגם אם המחשב יעבור ניקוי דרך אפליקציית אנטי-וירוס או חסימה של המשתמש הזדוני, הנוזקות ימשיכו לפעול באופן שוטף ובצורה חסויה מאפליקציות אבטחת המידע שמותקנות עליו.

הפרצה דווחה לראשונה בסוף יולי, אך באינטל שחררו את עדכוני האבטחה רק ב-10 בדצמבר. בנוסף החברה אף ביקשה הארכה של תקופת ההמתנה לפני פרסום הדיווח עד ל-14 בינואר. עם זאת ב-SafeBreach העדיפו להפיץ את המידע לציבור מתוך התבססות על ההסכם המקורי בינה לבין אינטל, כך על פי דיווח של אתר Tom's Hardware.