סייברארק חושפת חולשת אבטחה במנגנון חיבור מרחוק של מיקרוסופט

חברת סייברארק CyberArk NASDAQ: CYBR פרסמה מחקר חדש על חולשת אבטחה בפרוטוקול פופולרי של מיקרוסופט, שמאפשר חיבור למחשב או שרת מרוחק
החולשה מאפשרת לכל משתמש המחובר למכונה מרוחקת דרך פרוטוקול RDP (Remote Desktop Protocol), גישה למחשבים של משתמשים אחרים, וכך יוצרת סיכון גבוה יחסית לכל ארגון שמשתמש בפרוטוקול.

יצויין כי RDP הוא פרוטוקול פתוח שפיתחה מיקרוסופט ומשמש כסטנדרט בחיבור למכונת Windows.


באמצעות גישה למחשב של הקורבן שהתחבר למכונה המרוחקת, התוקף יכול להגיע לקבצים והספריות שלו, לשנות את המידע או לגנוב אותו ולשתול קבצים שיכולים להוביל בקלות להשתלטות על המחשב. בנוסף, במקרים בהם נעשה שימוש בכרטיס חכם (smart card) להזדהות מול המכונה המרוחקת, תוקף יוכל להשתמש בכרטיס שמחובר למחשב של הקורבן ובאמצעותו להתחבר למחשבים אחרים.


דוח המחקר פורסם בתיאום עם מיקרוסופט, שהוציאה תיקון תוכנה (patch) . חוקרי סייברארק ממליצים לארגונים להטמיע את העדכון באופן מיידי.


מדוע החולשה משמעותית?

ארגונים בכל העולם משתמשים ב-Windows RDP לצורך עבודה מרחוק, מה שהופך אותו למטרה מרכזית עבור תוקפים. ספציפית לגבי פריצת כרטיסים חכמים, בהם משתמשים לאימות בעיקר במגזר הממשלתי, החולשה תאפשר לתוקף להתחבר לכל שירות, על אותה מכונה או מכונות אחרות, תוך שימוש בכרטיס החכם של הקורבן והקוד שלו (PIN number), וכך להתחזות לקורבן. כתוצאה מכך, התוקף יוכל גם להשיג הרשאות פריבילגיות ולמעשה גישה למידע רגיש במיוחד.

גבריאל שטיינוורסל, ארכיטקט תוכנה (software architect) בסייברארק, מסביר כי התחברות למכונה מרוחקת היא פעולה שמבוצעת באופן שכיח למדי בארגונים, לדוגמא:

חיבוריות בעבודה מהבית – כאשר יש עובדים רבים מהבית שצריכים להתחבר לרשת הפנימית – אחת האפשרויות הנפוצות היא להתחבר עם RDP . אפשר לחבר שרת אחד שיתחבר לרשת, ומשתמשי הקצה מתחברים אליו (jump server)

אנשי תמיכה טכנית שמתחברים לתחנות קצה לצורך התקנות ופתרון בעיות

מחשב משותף חזק במיוחד או עם חומרה מיוחדת שעובדים יכולים להתחבר אליו, לבצע את המשימה הנדרשת, ולהתנתק

ארגוני פיתוח שמייצרים סביבות עם הרבה מכונות וירטואליות לצורך פיתוח ובדיקות