Telecom News - נחשפה חולשת אבטחה במנגנון חיבור מרחוק של מיקרוסופט

נחשפה חולשת אבטחה במנגנון חיבור מרחוק של מיקרוסופט

דף הבית >> חדשות עולם הסייבר >> נחשפה חולשת אבטחה במנגנון חיבור מרחוק של מיקרוסופט
נחשפה חולשת אבטחה במנגנון חיבור מרחוק של מיקרוסופט
מאת: מערכת Telecom News, 12.1.22, 13:10CYBER FREE

מהם מאפייני החולשה ומדוע היא משמעותית? מה מומלץ לכל ארגון המשתמש בפרוטוקול RDP (Remote Desktop Protocol)?

חברת סייברארק (CyberArk) פרסמה אמש מחקר על חולשת אבטחה בפרוטוקול פופולרי של מיקרוסופט, שמאפשר חיבור למחשב או שרת מרוחק. הדו"ח פורסם בתיאום עם מיקרוסופט, שהוציאה תיקון תוכנה (patch). חוקרי החברה ממליצים לארגונים להטמיע את העדכון באופן מיידי.
 
החולשה מאפשרת לכל משתמש המחובר למכונה מרוחקת דרך פרוטוקול RDP (Remote Desktop Protocol), גישה למחשבים של משתמשים אחרים, וכך יוצרת סיכון גבוה יחסית לכל ארגון המשתמש בפרוטוקול.
 
יצוין, ש-RDP הוא פרוטוקול פתוח, שפיתחה מיקרוסופט, שמשמש כסטנדרט בחיבור למכונת Windows.
 
באמצעות גישה למחשב של הקורבן, שהתחבר למכונה המרוחקת, התוקף יכול להגיע לקבצים והספריות שלו, לשנות את המידע או לגנוב אותו ולשתול קבצים, שיכולים להוביל בקלות להשתלטות על המחשב.
 
בנוסף, במקרים בהם נעשה שימוש בכרטיס חכם (smart card) להזדהות מול המכונה המרוחקת, תוקף יוכל להשתמש בכרטיס, שמחובר למחשב של הקורבן, ובאמצעותו להתחבר למחשבים אחרים.
 
מדוע החולשה משמעותית?
ארגונים בכל העולם משתמשים ב-Windows RDP לצורך עבודה מרחוק, מה שהופך אותו למטרה מרכזית עבור תוקפים. ספציפית לגבי פריצת כרטיסים חכמים, בהם משתמשים לאימות בעיקר במגזר הממשלתי, החולשה תאפשר לתוקף להתחבר לכל שירות על אותה מכונה או מכונות אחרות, תוך שימוש בכרטיס החכם של הקורבן והקוד שלו (PIN number), וכך להתחזות לקורבן. כתוצאה מכך, התוקף יוכל גם להשיג הרשאות פריבילגיות ולמעשה גישה למידע רגיש במיוחד.
 
מקרים לדוגמא בהם יש שימוש במכונה משותפת:
 
גבריאל שטיינוורסל, ארכיטקט תוכנה (software architect) בסייברארק: "התחברות למכונה מרוחקת היא פעולה המבוצעת באופן שכיח למדי בארגונים, לדוגמא:
 
1) חיבוריות בעבודה מהבית - כאשר יש עובדים רבים מהבית הצריכים להתחבר לרשת הפנימית - אחת האפשרויות הנפוצות היא להתחבר עם RDP . אפשר לחבר שרת אחד, שיתחבר לרשת, ומשתמשי הקצה מתחברים אליו (jump server).

2) אנשי תמיכה טכנית המתחברים לתחנות קצה לצורך התקנות ופתרון בעיות.

3) מחשב משותף חזק במיוחד או עם חומרה מיוחדת, שעובדים יכולים להתחבר אליו, לבצע את המשימה הנדרשת, ולהתנתק.

4) ארגוני פיתוח המייצרים סביבות עם הרבה מכונות וירטואליות לצורך פיתוח ובדיקות".

סרטוני וידאו המדגימים את טכניקת התקיפה:

·         Clipboard interception – https://youtu.be/oFw-MzurNCU
·         Drive redirection - https://youtu.be/_qJt-aZ3HH4
·         Smart card hijacking https://youtu.be/KVWDhdNiASM
 
 



 
 



 
 
Bookmark and Share