פירצת אבטחה חמורה ב-Teams: גיף אחד וכל המידע שלכם היה בסכנה

חוקרים ישראליים ב-CyberArk גילו פירצה שמאפשרת לתוקף להשתלט על חשבונות, ולהדביק את כל שאר האירגון בנוזקה. מיקרוסופט מיהרה לשחרר עדכון אבטחה, שפותר את הבעיה

תמונה: מיקרוסופט

פלטפורמת התקשורת האירגונית של מיקרוסופט חגגה לפני חודש יום הולדת עם הישג מרשים של 44 מיליון משתמשים יומיים קבועים (DAU), אבל על החגיגה הזאת העיבה פירצת אבטחה שהתגלתה במערכת על ידי חוקרים ישראליים, וטופלה לאחרונה על ידי מיקרוסופט בעדכון אבטחה.

המותקף אפילו לא יודע שהוא מותקף

חוקרים בחברת CyberArk חשפו היום (ב’) פירצת אבטחה חמורה שגילו ב-Teams אשר מאפשרת לתוקף לשלוח תמונה תמימה או גיף, וברגע שמשתמש אחר נחשף אליה, כל פרטי הגישה שלו ל-Teams מועברים לתוקף, שכל יכול לראות את לוח הפגישות של הקורבן, ולהתחיל מתקפה נרחבת ומסוכנת למדי שמתעצמת אף יותר ברוח התקופה האחרונה.

בראיון לגיקטיים מסבירים אסף הכט ועומר צרפתי, חוקרים ב-CyberArk את שגילו: כחלק ממנגנון האימות של Teams, האפליקציה מייצרת כמה Tokens למשתמש. חלק מאותם טוקנים נשמרים כ-Cookies, כאשר כל אחד מהם נשלח לסאבדומיין של Teams. “מצאנו שני Subdomains שניתנים להשתלטות בגלל רשימות DNS… הם היו בשימוש בעבר, וביצענו עליהם רישום”, כלומר, השתלטות. מאותו רגע, כשיוזר יפנה אל ה-DNS של התוקף, הקוקיז יישלחו אליו, ואותן קוקיז כוללות את פרטי ההזדהות של המשתמש מול Teams.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

“משתמשים כבר מודעים שלא כדאי ללחוץ על לינקים ששולחים אליהם. אז חיפשנו דרך אחרת שלא תמשוך את תשומת הלב של האנשים, ושלא תהיה אינטרקציה”, מסבירים הכט וצרפתי. השניים גילו שהם מסוגלים לעקוף את מערכת הסינון של מיקרוסופט, ולטעון תמונות מאותו סאבדומיין עליו השתלטו בשלב הקודם. “מכיוון ש-Teams מבוססת דפדפן, כאשר המשתמש רואה את התמונה, הוא באופן אוטומטי מבצע פניה לאותו מקור, ושולח את העוגיות”.

התוקף מתחזה למשתמש, ומדביק את שאר האירגון במהירות

מהרגע שהמותקף רואה את התמונה או ה-GIF הזדוני, פרטי המשתמש נחשפים ועומדים לרשות התוקף שכעת קיבל דריסת רגל ראשונה באירגון, מבלי שהמותקף אפילו יודע שמהלך כלשהו התבצע נגדו. הכט וצרפתי מסבירים לשאלת גיקטיים כי התוקף חייב להתחיל בשיחה כלשהי עם המותקף, אך דווקא תקופת הקורונה בה פגישות לא נעשות פנים מול פנים, יוצרת לא מעט הזדמנויות עבור התוקפים. בשלב הזה, התוקף יכול פשוט לשלוח תמונות זדוניות בקבוצות בעלות תפוצה יותר רחבה באירגון, להדביק את שאר המשתמשים באותה נוזקה, ולהתקדם עד אשר יגיע למטרה איכותית.

הכט וצרפתי ממשיכים ומסבירים כי לאחר החדירה לאירגון, התוקף יכול להמשיך בלא מעט מהלכים מסוכנים, כמו להתחזות לאחד המשתמשים ולנסות לגרום לעובדים אחרים ב-Teams להוריד קבצים זדוניים למחשבים שלהם, לראות מסמכים ששותפו ב-Teams ולחכות לרגע המתאים כדי להכות. “אותו קורבן לא צריך לבצע כלום. רק לראות את התמונה. זה החלק הכי מסוכן בכל הסיפור הזה. כל מי שנדבק הופך למדביק”. עוד טוענים השניים כי עצם העובדה שצוותים לא נפגשים פיזית בימינו, אלא רוב ההתקשרות היא וירטואלית, מייצרת הזדמנות לאותם גורמים עוינים להתחזות לעובדים, מבלי שאחרים יגלו זאת במהירות.

CyberArk פנתה למיקרוסופט עם גילוי הפירצה, ולפני כמה ימים שיחררה מיקרוסופט תיקון ל-Teams אשר חוסם את החולשה. חשוב להדגיש כי עד כה לא ידוע על מקרי תקיפה שהשתמשו בחולשה, אך הכט וצרפתי מזהירים וממליצים למשתמשים לגלות עירנות במיוחד בתקופת הקורונה, לא לשלוח מידע סודי או רגיש באפליקציות תקשורת, ולחשוד בכל הודעה מוזרה, במיוחד אם היא הגיעה מחוץ לאירגון או מעובד שלא דיברתם איתו עד עכשיו. כן, גם אם הגיף שהוא שלח ממש הצחיק אתכם.

ממיקרוסופט נמסר ״הסוגייה המתוארת בבלוג טופלה תוך שיתוף פעולה עם נציגי סייברארק תחת הליך מקובל במקרים אלה – Coordinated Vulnerability Disclosure. לא ראינו שימוש בטכניקה המתוארת בשטח, יחד עם זאת ננקטו צעדים מתאימים כדי לשמור ולהגן על לקוחותינו.״

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

5 תגובות על "פירצת אבטחה חמורה ב-Teams: גיף אחד וכל המידע שלכם היה בסכנה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
קוביה הונגרית
Guest

לא ממש הצלחתי להבין האם יש עדכון ווינדוס שסוגר את הפרצה הזאת?
אם כן מתי הוא שוחרר? שוחרר לכולם או בשלבים?

מגנדוד
Guest

זאת פרצה באתר של Teams, לא קשור לווינדוס

יהונתן
Guest

“פירצה” יפה.
פשוטה, הגיונית, מנצלת חולשות של בני אדם ולא של תוכנה/מכונות (שכחו לרכוש דומיין פג תוקף או למחוק את הקוד הרלוונטי שמפנה אליו)..

במבה
Guest

לאיזה גרסה יש לעדכן על מנת שהעדכון יסגור את הפרצה ?

אנליסט
Guest

לגרסת zoom

wpDiscuz

תגיות לכתבה: