פרסום ראשון: Wiz של אסף רפפורט שוב מוצאת פרצת אבטחה חמורה במיקרוסופט

יוצאי מיקרוסופט מוצאים שוב חולשת אבטחה קריטית בשירותי מיקרוסופט, והפעם הם מצאו דרך להכנס למאגר המידע שלכם בענן

צילום: גיקטיים

בפעם השניה בשנה האחרונה, מאתר סטארטאפ אבטחת הענן הישראלי Wiz חולשת אבטחה חמורה בפלטפורמת הענן Azure של מיקרוסופט. הפעם הצליחו חוקרי האבטחה הישראליים להגיע לדאטה בייס של משתמשים אחרים, אבל יש גם נקודת אור. כזכור, לפני כובעו הנוכחי, היה אסף רפפורט מנהל מרכז הפיתוח הישראלי של מיקרוסופט.

המסקנות של המחקר הקודם התגלו כנכונות כאן

בשיחה עם גיקטיים מסביר ינון קוסטיקה, מייסד שותף וסמנכ"ל מוצר ב-Wiz, כי צוות המחקר של החברה מחפש באופן שוטף את הבעיות האפשריות בבניית תשתית המבוססת על שירותי ענן. "כמו כל מחקר, צריך להגדיר מטרה. המחקר מתמקד בבעיות הפרדה בין לקוחות", מסביר קוסטיקה. Wiz בעצם חיפשה דרך לקפוץ מ-Service של לקוח אחד, ל-Service של לקוח אחר, מה שיאפשר לתוקף אפשרי לגשת למידע פנימי המאוחסן בענן. במקרה של החולשה שנחשפת היום תחת השם ExtraReplica, מדובר במחקר המשך לזה שפירסמה החברה באוגוסט של 2021, במסגרתו מצאה חולשה בשירות Cosmos DB של Azure.

החולשה התגלתה בשירות הדאטה בייס של מיקרוסופט, Azure PostgreSQL Flexible Server, ובמסגרתו הצוות ניסה לראות אם אפשר ליישם את מסקנות המחקר הקודם על סביבות אחרות. "ההנחות שהיו לנו התגלו כנכונות", אומר קוסטיקה. "הבעיה היא שאתה מניח שאתה משתמש ב-Cloud Service ושאתה מקבל סביבה מבודדת. למעשה, היא רצה על תשתית של ספקית ענן, ואם אתה מצליח להגיע לתשתית, אתה מגיע ל-Level שמריץ את השירות. מכאן צריך עוד חולשה שמאפשרת לפנות למה שאנחנו קוראים לו Cross Account. פונים לאותו שירות – אבל של לקוח אחר".


קוסטיקה: אני רוצה לדבר דווקא על הטעויות שהובילו להצלחה של Wiz


"לא בעיה אחת קטנה… שרשרת שגיאות"

במילים אחרות, דמיינו שאתם עובדים במתחם עבודה משותף, שבו לכל אחת מהחברות יש חדר נעול משלה. עכשיו אתם רוצים להיכנס למשרדים של חברות אחרות כדי לגנוב מהם מידע, אבל בשבל לעשות את זה, אתם צריכים למצוא דרך לעשות טלפורט אל המסדרון (התשתית), וגם לקחת את המפתח לחדר של החברה השכנה. "זו לא בעיה אחת קטנה שמצאנו שפתאום אני נמצא בחדר ליד. זה מורכב משרשרת שגיאות".

שיר תמרי מ-Wiz, שהוא אחד מהחוקרים שגילו את החולשות (לצד רונן שוסטין, שגיא צדיק וניר אוכפלד), מסביר לנו שהחולשה הראשונה שנמצאה איפשרה לצוות להריץ קוד משלו ולבצע פעולות מלאות על הדאטה בייס בענן של Azure. בחולשה השניה, הצוות מצא דרך לעקוף את מנגנון האימות. "הדאטה בייסים האלה האלה לא נגישים מבחוץ, הם ניגשים רק מהסביבה הפנימית של אז'ור. זה לא טריוויאלי. נהוג שבענן יש הפרדה מלאה בין לקוחות, שגם אם אצליח לפרוץ לדאטה בייס אחד, לא יהיה אפשר לגשת ממנו לדאטה בייס אחר. במקרה זה בגלל הארכיטקטורה של מיקרוסופט, זה היה אפשרי. רק משם יכולנו לגשת לדאטה בייסים של לקוחות אחרים".


תמרי מסביר כי ברגע שמייצרים דאטה סרביס, מקבלים כתובת דומיין שהיא בעצם השם של הדאטה בייס עם סיומת קבועה. כך, כפי שניתן לראות בסרטון, הצוות מצליח לחדור לדאטה בייס שלא שייך למשתמש שלהם, פשוט על ידי כך שהוא יודע את השם של השרת. עם זאת האם הפירצה הזאת שימושית גם אם אני לא יודע את השם של הקורבן שאני רוצה לפרוץ אליו? תמרי הסביר לנו כי ברגע שהצוות מגיע לרמת הרשת שהייתה פתוחה, הוא יכול היה לראות את השמות של שאר השרתים, ומי יושב איתם באותה רשת, ומשם להתקדם לפריצה. הפירצה הזאת, בניגוד לפירצות אחרות שניתנות לסגירה בשינוי קוד פשוט, הייתה בלב הארכיטקטורה של מיקרוסופט.

כנהוג, Wiz דיווחה על החולשות למיקרוסופט, וזו העניקה להם 40 אלף דולר תחת תוכנית ה-Bug Bounty שלה. על אף שהממצאים של המחקר מדאיגים למדי בחומרתם, לקוסטיקה ותמרי יש כמה נקודות מעודדות שצפו בעקבות המקרה: "אנחנו דיווחנו על שתי החולשות ב-11 לינואר, וכבר ב-13 בינואר היא (מיקרוסופט) תיקנה את החולשה הקריטית שאיפשרה לנו לדלג (בין דאטה בייסים)… אנחנו ממש מרוצים משיתוף הפעולה איתם. הם עובדים סופר מהיר ופתוח, ואני חושב שהם מהווים דוגמה לאיך עושים אבטחה… היכולת לעשות תיקון מיידי לכל הלקוחות תוך יומיים מהדיווח זה היתרון הענק בענן. הלקוחות לא היו צריכים לעשות כלום ומיקרוסופט תיקנה את הבעיה". לחיי הנחמות הקטנות.

כשיוצאי מיקרוסופט מוצאים אצלה חולשות

נזכיר שגם הפעם מדובר בחשיפה מעניינת במיוחד עבור Wiz. החברה אמנם חשפה בעבר חולשות כמעט אצל כל ספקיות הענן הגדולות, אבל Wiz נזכיר הוקמה על ידי אותה חבורה שהקימה את Adallom, מכרה אותה למיקרוסופט ב-2015. היזמים המשיכו לעבוד בתוך מרכז הפיתוח הישראלי של מיקרוסופט בתחומי ה-Cloud Security, עד שאסף רפפורט קודם לתפקיד מנכ"ל מרכז הפיתוח של מיקרוסופט בישראל.

המחקר המלא של Wiz מחכה לכם כאן

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

16 תגובות על "פרסום ראשון: Wiz של אסף רפפורט שוב מוצאת פרצת אבטחה חמורה במיקרוסופט"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
פלא ופלא
Guest

שיר תמרי זה בן?
למה הם מחפשים חולשות אצל מיקרוסופט? הכסף הרי לא מזיז להם, לא ישכרו אותם בשביל התיקון, אז איך בדיוק זה עוזר לחברה שלהם שהם מצאו את החולשה?

דני שובבני
Guest

מה לא ברור? יצרו / הכירו את החולשות מראש כשעבדו במייקרוסופט, ואז פתחו חברה שמוצאת חולשות. קונספט מדהים וחדשני.

למה?
Guest

לא ממש.
כחברה שמנסה להגן על סביבת ענן, חלק מהעבודה זה למצוא חולשות בענן….
(לא עובד שם ולא קשור לשם)

EEE
Guest

איכשהו יוצא מיקרוסופט מוצא פרצות רק של מיקרוסופט. הם לא מוצאים כל הזמן פרצות ב-AWS ו-GCP

שלום
Guest

אולי עדיף לחפש חולשות גם לא אצל מקום העבודה הקודם? כי זה מריח לא טוב.

קאטו
Guest

אולי כדאיי שיחפשו חוזקות במקום חולשות.

nope
Guest

מפתיע, קודם מנכ"ל JFrog מדבר על ערכים ומזכיר את Wiz כחברה שאיבדה חלק ועכשיו המחקר/יח"צ הזה… איפה הקלואוזאפ שלי עם "חשוד מאוד" של גשש בלש?

Null
Guest

גמר את הסיפור שלו הבחור הזה, ירק ליד שהאכילה אותו ועוד בעט בה אחר כך

דקל
Guest

כמה אפשר ללעוס את השם הזה אסף רפפורט?
איך משיגים כאלה יחסי ציבור?

אייפוניסט
Guest

מסיימים תלפיות בהצטיינות, מקימים חברה ומוכרים אותה במיליונים, מנהלים את מרכז פיתוח של מיקרוסופט, שאמשיך ?

דון נחמיאס
Guest

כמי שאחראי על הפיתוח של מוצרי א.מידע ומי שמכיר את התשתיות – פרצה בקנה מידע של קפיצה בין לקוחות הייתה אמורה להיות הלחם והחמאה שלו

דון נחמיאס
Guest

המייסדים הם לא אלו שמכרו את החברה הקודמת שעושה הגנת ענן וישבו כמה שנים במיקרוסופט על משכורות עתק בשביל ללמוד את התשתיות ולשלב את המוצר א.מידע שלהם וגם לנהל את פיתוח הגנות למוצרים של מיקרוסופט?

כל זה בטוח מקרי לחלוטין וגם תמים

אתמהה
Guest

שאני אבין הם בעצם מצאו פרצה בהגנה של המוצר הקודם שהם מכרו?

דון נחמיאס
Guest

לא הוא היה מנהל חטיבת ההגנה על מוצרי ענן?
הוא לא זה שמכר מוצר שאמור להגן על מידע בענן של לקוחות ?

אני לא חושב שמדובר במישרין בפרצה במוצר שהוא מכר. אבל לצוות הזה היתה גישה מאוד אינטימית לקוד המקור ולידע בתוך מיקרוסופט.
וכן, כשאתה מנהל את כל הגנות הענן – יש לך אחריות על גילוי ומניעה של פרצה בקנה מידה כזה

nope
Guest

לתמצת את כל הכתבה הזו: "אה, התפנינו לעשות code review ומצאנו באג"

פסטיבל מספרי סיפורים
Guest
פסטיבל מספרי סיפורים

עם מכפיל 500 על ההכנסות צריך לייצר הרבה אוויר חם.
כמה נמוך צריך לרדת כדי לדפוק את מי שהאכיל אותך כלכך הרבה שנים. תתפנו לAWS, זה השחקן הכי גדול או שמה שם יותר קשה כי לא טחנתם אותם מבפנים.

wpDiscuz

תגיות לכתבה: