חברה ישראלית חשפה פרצת אבטחת ב-SQL Server של מיקרוסופט

חברת סנטריגו הישראלית, המפתחת תוכנה להגנה על מסדי נתונים הודיעה היום כי אחד החוקרים בחברה נתקל בפרצה משמעותית ב-Microsoft SQL Server, אשר מאפשרת לכל משתמש עם זכויות גישה אדמיניסטרטיביות לראות סיסמאות של משתמשים אחרים, או את הסיסמאות של יישומים הניגשים לשרת.

sentrigoחברת סנטריגו הישראלית, המפתחת תוכנה להגנה על מסדי נתונים הודיעה היום כי אחד החוקרים בחברה נתקל בפרצה משמעותית ב- Microsoft SQL Server, אשר מאפשרת לכל משתמש עם זכויות גישה אדמיניסטרטיביות לראות  סיסמאות של משתמשים אחרים, או את הסיסמאות של יישומים הניגשים לשרת באימות SQL Server. כל ארגון המשתמש ב- SQL Server 2000, 2005 ו- 2008, על כל פלטפורמות חלונות הנתמכות, ומשתמשים במצב אימות מעורב (ידוע גם כ- SQL Server and Windows Authentication Mode), חשופים לפגיעות סיסמאות זאת, אך לקוחות המשתמשים ב- Windows Authentication Mode בלבד, אינם חשופים לפירצה.

רוני רויטמן, מנהל מכירות מוצרי אבטחת מידע ב- One1 המייצגת את סנטריגו בארץ ציין כי הפרצה בעלת משמעות רבה עקב העובדה שמשתמשים מנצלים לעתים קרובות את אותן סיסמאות במערכות רבות, דבר שמוסיף על הפירצה הקיימת את הסיכון לחשיפת מערכות נוספות לפגיעה כתוצאה מהשגת פרטי ההתחברות.

לפי מחקר שנערך במיקרוסופט בשנת 2007, למשתמשים יש כ- 25 חשבונות הדורשים סיסמאות, אך בממוצע רק 6-7 סיסמאות ברחבי כל האתרים. אם נחשפות, סיסמאות אלה יכולות לאפשר לתוקפים לפגוע במערכות נוספות בתוך הארגון, כמו גם לגשת לחשבונות אישיים בהם המשתמש עשוי לנצל סיסמה זהה. סלביק מרקוביץ’, ה-CTO של סנטריגו ציין כי כי ניצול הפירצה אכן דורש גישה אדמיניסטרטיבית, אך במקרים רבים יש למשתמשים רבים גישה שכזו. “אפילו אם האדם אמין לחלוטין, אסור שיוכל לראות אי פעם סיסמה עדכנית של משתמש אחר. בנוסף, הסיכון של האקר המקבל גישה אדמיניסטרטיבית לשרת קיימת תמיד, והחשיפה של סיסמאות משתמשים נוספות עלולה להגביר משמעותית את הסיכון שיוכל לחדור למערכות אחרות”, טוען מרקוביץ’.

בעוד אדמיניסטרטורים יכולים לבצע בדרך כלל Reset של סיסמת משתמש אם נדרש, הרי תהליכים מומלצים באבטחה לא מאפשרים אפילו לאדמיניסטרטורים לראות את הסיסמאות העדכניות של משתמשים אחרים. בנוסף, יישומים משקיעים רבות בערפול סיסמאות כאשר הן נדרשות בתוך התוכנה, ואסור שיאחסנו סיסמאות כ”טקסט גלוי”, בזיכרון (כפי שקורה בפרצה זאת) או בדיסק. זו אפילו בעיה גדולה יותר, מאחר שארגונים רבים חייבים לציית לתקנים רבים ולרגולציות הדורשות הפרדה קפדנית של תפקידים, מה שמופר בבירור על-ידי שיתוף סיסמאות משתמשים עם האדמיניסטרטורים.

עם הגילוי של הפרצה, סנטריגו העבירה מיידית התראה לצוות MSRC במיקרוסופט. עם זאת, מיקרוסופט ציינה כי היא אינה מתכוונת לטפל בפרצה בזמן זה, ולכן סנטריגו משחררת כלי תוכנה חינם כדי לאפשר למשתמשים להגן אל מערכותיהם.

.

פוסטים נוספים בנושא אבטחת מידע:

ניתן להאזין מרחוק גם להקשות המקלדת שלכם
פרטי ההתחברות של עשרות אלפי משתמשי הוטמייל, ג’ימייל ויאהו נחשפו
למיקרוסופט יש אנטי-וירוס, והוא אפילו טוב. אז מה?

יניב פלדמן

צ'יף-גיק ועורך ראשי. יזם, סטטיסטיקאי חובב, טכנולוג בדם, בעל תואר ראשון במנהל עסקים ו-Microsoft MVP בתחום אבטחת מידע. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

3 Comments on "חברה ישראלית חשפה פרצת אבטחת ב-SQL Server של מיקרוסופט"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
דיבי איי (זה כואב)
Guest
דיבי איי (זה כואב)

מתי יתחילו חברות האבטחה לעשות הדגמות לעיתונאים?
למה שאאמין להם? אולי הם סתם רוצים פרסומת חינם

yanivf
Guest

אני בהחלט מבין לליבך, אך במקרה הזה אני מכיר אישית את המוצר, את החברה ואפילו את ה-CTO שכן עבדנו ביחד ובעבר אף סייעתי להטמיע את המוצרים שלהם אצל לקוחות. אם תרצה מידע נוסף, אשמח לקשר אותך למי שצריך.

יניב

IraF
Guest

Hi,
Pls give me email to send CV of S/W Eng (ADBA, Data-Driven Applications, Dot Net, Power Builder, etc.).
Sorry, but I cannot find appropriate address :).
Thanks,
Irina

wpDiscuz

תגיות לכתבה: