נט2יו - איכות ברשת משנת 2004
  האם אנחנו בדרך ל-WannaCry חדשה?
11/7/2019 3:18

https://www.pc.co.il/wp-content/upload ... -278238466600-300x210.jpg 300w" sizes="(max-width: 600px) 100vw, 600px" />


הנוזקת הבולטת והמזיקה ביותר שתקפה בשנתיים (פלוס) האחרונות הייתה WannaCry. אחרי השערות והערכות רבות, ארצות הברית האשימה בדצמבר 2017 את צפון קוריאה כמי שאחראית למתקפת הסייבר הענקית, שפגעה במאות אלפי מחשבים בעולם במאי באותה השנה. מתקפת הסייבר התפשטה לרוחב הגלובוס והסבה נזק כספי של מיליארדי דולרים. הייתה זו מתקפת הכופרה הגדולה בהיסטוריה, שהיורופול הגדיר כ-"חסרת תקדים": 300 אלף מחשבים מכ-150 מדינות נפגעו ממנה, לרבות מערכות IT בבתי חולים - דבר שגרם לדחיות ולביטולים של ניתוחים.


קצת יותר משנתיים לאחר מכן, מנהלי אבטחה חשים, בעגמומיות, דז'ה וו: באחרונה (בחודש מאי) פרסמה מיקרוסופט עדכון אבטחה והזהירה את משתמשי Windows מפרצה בעלת "סיכון ברמה קיצונית", כיוון שניתן לנצל אותה להדבקה בנוזקות המפיצות את עצמן, כמו שאירע במקרה של WannaCry. מדובר בפרצה המתויגת BlueKeep (או CVE-2019-0708). היא משפיעה על פרוטוקול שירותי הגישה לדסקטופ (RDP) ונמצאת בגרסאות הישנות של Windows - ויסטה, XP ,7 וגרסאות 2003 ו-2008 של Windows Server. על פי הענקית מרדמונד, מדובר בבעיית אבטחה קריטית, שמסכנת כמעט מיליון מחשבים שבהם מותקנות מערכות Windows ישנות.


לפני ימים אחדים, צוות המחקר ההתקפי של סופוס פיתח כלי לניצול הפרצה, שיש לו משמעות חמורה, לאור ההתרעות שלפיהן הסיכון של כמה שרתי ה-RDP (בעלי פרוטוקול גישה מרחוק) ברשת שאינם מעודכנים עודנו גבוה מאוד. סופוס לא פרסמה לקהל הרחב ולא תפרסם את הוכחת ההיתכנות (ה-PoC), מתוך זהירות, אך הציגה וידיאו הדגמה, בתקווה שהוא יניע אנשים וארגונים לבצע עדכון דחוף של שרתים ונקודות קצה.


אנדרו ברנדט, חוקר ראשי בחברת האבטחה, אמר כי "אם מישהו יצליח לייצר נשק על בסיס הוכחת ההיתכנות הזו - כל מכשיר שעדיין מכיל את BlueKeep יהפוך בן רגע למטרה לפריצה עבור תוקפים, שיוכלו להזריק קוד זדוני או לבצע פעולות עוינות אחרות המתאפשרות על מחשב בשליטה".


הפרצה שהודגמה מבוצעת ללא קבצים כלל (Fileless) ומספקת שליטה מרחוק על המערכת מבלי להפעיל נוזקה. התקיפה גם לא דורשת הפעלה של Session במערכת המטרה.


הוצאת העדכונים לגרסאות הישנות - הוכחה עד כמה הפרצה קריטית


פיתוח BlueKeep החל באמצעות הנדסה לאחור שבוצעה על עדכון האבטחה האחרון שפרסמה מיקרוסופט. מיקרוסופט רואה בה פרצה קריטית, עד כדי כך שהיא נקטה בצעד יוצא דופן: פרסום עדכונים עבור גרסאות של מערכות ההפעלה שכבר הגיעו אל סוף חייהן ואינן מקבלות בדרך כלל עדכונים, כגון Windows XP.


בטכניקה שפיתחו אנשי מעבדות סופוס, לאחר הרצת קוד הפריצה התוקף יכול להריץ Command shell על מסך הכניסה ל-Windows. הדבר מתאפשר כתוצאה מהאפשרות להחליף קובץ הפעלה בשם utilman.exe (חלק ממערכת ההפעלה) ברכיב פקודות ה- shell - cmd.exe. הקוד של utilman אחראי בין היתר להפעלה ולנטרול של מאפייני הנגישות במערכת ההפעלה המיקרוסופטית. ניתן לגשת למאפיינים האלה באמצעות לחיצה על אייקון במסך הכניסה, אפילו עוד בטרם הזנת סיסמה. מאחר של-Utilman יש הרשאת גישה ברמת מערכת (System), באמצעות החלפתו התוקף מקבל את אותה רמת הרשאה ואת היכולת להריץ פקודות.


[caption id="attachment_294998" align="alignnone" width="600"]הכלי של סופוס הכלי של סופוס[/caption]


על היכולת להפעיל סביבת Command shell עם הרשאות System נכתב בבלוג של סופוס כי "זה אמנם גרוע, אבל הכלי בו עשה שימוש הצוות שלנו כדי להפעיל את הפרצה (rdpy framework) מאפשר גם לייצר אינטראקציה של RDP, כגון הדמיה של לחיצה על מקשים. במאמץ לא רב, תוקף יכול לבצע אוטומציה של שרשרת התקיפה המלאה, כולל הקלדה סינתטית של פקודות ל-Shell". האוטומציה הזו מאפשרת ליצור מתקפות שירוצו בקצב גבוה מול כל מערכת בעלת חיבור לרשת. המתקפה לא תפעל על מכשירים מעודכנים, אבל במקרים מסוג זה, התוקפים אינם בררניים, והם מסתמכים על כך שאחוז מסוים מהמכשירים יהיה פגיע.


סופוס ממליצה לעדכן את מערכות Windows בדחיפות ולסגור כל פיירוול שחושף RDP אל האינטרנט.


הפוסט האם אנחנו בדרך ל-WannaCry חדשה? הופיע ראשון באנשים ומחשבים - פורטל חדשות היי-טק, מיחשוב, טלקום, טכנולוגיות







האחריות על התגובות למאמרים השונים חלה על שולחיהן. הנהלת האתר אינה אחראית על תוכנן.
שליחת תגובה
חוקי שליחת תגובות*
תגובות חברי האתר מאושרות אוטומטית
כותרת*
_CM_USER*
_CM_EMAIL*
_CM_URL*
הודעה*
קוד אבטחה*

 הערה: התכנים המוצגים בעמוד זה ...

התכנים המופיעים במדור זה מועברים אוטומטית מבלוגים ואתרי מידע ברשת, כל הזכויות על התכנים: כולל טקסטים, תמונות, סרטים וכל מדיה נוספת, הנם של יוצרי החומר המקורי בלבד. אתר נט2יו אינו טוען לבעלות או לזכויות יוצרים על התכנים, אלא רק מצביע עליהם בצורה נוחה ומרוכזת, וכן מקשר אל האתר המקורי, עם המאמרים המלאים. אם למרות האמור לעיל, נתקלת בחשש להפרת זכויות יוצרים, או שתוכן מסויים באתר אינו לרוחך, אנא דווח לנו באמצעות טופס יצירת הקשר ונורידו בהקדם האפשרי מהאתר.
×

הצהרת נגישות

אתר זה מונגש לאנשים עם מוגבלויות על פי Web Content Accessibility Guidelines 2 ברמה AA.
האתר נמצא תמידית בתהליכי הנגשה: אנו עושים כל שביכולתנו שהאתר יהיה נגיש לאנשים עם מוגבלות.
אם בכל זאת נתקלתם בבעיית נגישות אנא שלחו לנו הערתכם במייל (אל תשכחו בבקשה לציין את כתובת האתר).

אודות ההנגשה באתר:

  • אמצעי הניווט וההתמצאות באתר פשוטים ונוחים לשימוש.
  • תכני האתר כתובים בשפה פשוטה וברורה ומאורגנים היטב באמצעות כותרות ורשימות.
  • מבנה קבוע ואחיד לנושאים, תתי הנושאים והדפים באתר.
  • האתר מותאם לצפייה בסוגי הדפדפנים השונים (כמו כרום, פיירפוקס ואופרה)
  • האתר מותאם לסביבות עבודה ברזולוציות שונות.
  • לאובייקטים הגרפיים באתר יש חלופה טקסטואלית (alt).
  • האתר מאפשר שינוי גודל הגופן על ידי שימוש במקש CTRL וגלגלת העכבר וכן בלחיצה על הכפתור המתאים בערכת ההנגשה הנגללת בצד האתר ונפתחת בלחיצה על הסמלון של כסא הגלגלים.
  • הקישורים באתר ברורים ומכילים הסבר להיכן הם מקשרים.
    לחיצה על הכפתור המתאים בערכת ההנגשה שבצד האתר, מסמנת את כל קישורי האתר בקו תחתון.
  • אנימציות ותכנים מהבהבים: הכפתור המתאים לכך בערכת ההנגשה שבצד האתר , מאפשר להסתיר בלחיצה אחת את כל התכנים באתר הכוללים היבהובים או תכנים המכילים תנועה מהירה (אנימציות, טקסט נע).
  • למתקשי ראיה: מתקשי הראיה שבנינו יכולים להעזר בשני כפתורים הנמצאים בערכת ההנגשה בצדו הימני של האתר, האחד מסב את האתר כולו לגוונים של שחור ולבן, השני מעביר את האתר כולו למצב של ניגודיות גבוהה.