מומחי אבטחת המידע בעולם חלוקים בדעתם בנוגע לרמת הסיכון האמיתית הגלומה בפרצת אבטחת המידע ב-Active Directory אשר פורסמה בשבוע שעבר; עם זאת...
חברת אבטחת המידע Aorato הודיעה בשבוע שעבר שהצליחה לייצר Proof-of-concept attack בה הצליחה לשנות את סיסמתו של משתמש במערך ה-Active Directory באופן בלתי מורשה. בפרסום נאמר כי שורש הבעיה נעוץ בתאימות לאחור (backward compatibility) של פרוטוקול ההזדהות NTLM, שהיה ברירת המחדל במערכות ההפעלה של מיקרוסופט אשר קדמו ל-Windows XP SP3.
הפרוטוקול פגיע לתקיפות מסוג "Pass-the-hash" אשר בהן התוקף יכול לגנוב את מאפייני ההזדהות אשר באמצעותם בוצע תהליך ה-Login מן המחשב המותקף, ואז להשתמש ב-hash שנתגלה לו בכדי לשנות את סיסמת המשתמש; בסיסמה חדשה זו יכול התוקף לגשת אל שרתים ושירותים נוספים, בהם RDP, Outlook Web Access ועוד.
מומחי אבטחה מחברות שונות התיייחסו לנושא והדגישו את העובדה שהסיכויים להתרחשות תקיפה מסוג זה הינם נמוכים מלכתחילה. זאת מכיוון שבכדי להגיע אל ה-Hash של המשתמש, יש קודם לכן לנצל פרצה נוספת (וחמורה בדרך כלל) אשר נמצאת על המחשב המותקף; רק לאחר ניצול פרצה קיימת (באם קיימת) - ניתן להשיג גישה אל ה-Hash.
עם זאת, חשש הועלה לגבי העובדה שעצם ביצוע התקיפה לא נרשם כלל במערכת ה-Event logging של Windows. עובדה זו לכשעצמה צריכה לעורר חשש, מכיוון שמשמעותה היא שהתקיפה לא משאירה כל עקבות במערכת.
נקודה חשובה נוספת עליה יש לתת את הדעת, היא עד כמה התאימות לאחור (שהכרחית במקרים מסויימים בהיבטים תפעוליים) - חושפת מערכות חדשות רבות לפגיעויות אשר היו אמורות לעבור מן העולם.
חברתנו מציעה מגוון רחב של ביקורות ומבדקי אבטחת מידע, ובאופן ספציפי ביצענו במהלך השנה האחרונה מספר גדול של תקיפות Pass-the-hash מוצלחות על שרתים שאותרו כפגיעים במסגרת מבדקי החדירות הפנימיים שערכנו אצל לקוחותינו. הוכחת ההיתכנות לפגיעות זו אצל לקוחות - במיוחד כאשר במקרים רבים ה-Hash אשר נמצא התברר ככזה ששייך למשתמש חזק ברשת (במרבית המקרית בעל הרשאות Admin ואף Domain Admin) - מדגימה באופן מוחשי ואמיתי את פוטנציאל הסיכון הגבוה הגלום בתצורות עבודה בלתי מאובטחות וכאמור - קיימות דרכים לצמצם את הסיכונים המובנים בהינתן גירסת הפרוטוקול הספציפית בה מתבצע שימוש אצל הלקוח.
דרכי ההתמודדות המומלצות עם סיכון זה משתנות כמובן כתלות בסביבת הרשת ובמאפייני הלקוח השונים.
לידיעה המלאה - כאן
לידיעה המקורית אודות גילוי הפרצה - כאן