מי חשף את פרצת האבטחה החמורה של מיקרוסופט? יוצאי מיקרוסופט הישראלים כמובן

חברת Wiz הישראלית של אסף רפפורט חשפה חולשת אבטחה שאיפשרה לה לגשת למידע הסודי ביותר של אלפי לקוחות, בהם גם כמה מהחברות הגדולות בשוק. ”זוהי החולשה הגרועה ביותר שאתם יכולים לדמיין בענן”, אמר עמי לוטבק, CTO ב-Wiz

למטה המחקר והפיתוח שבתמונה אין קשר לכתבה. צילום: גיקטיים

עוד יום, עוד פרצת אבטחה שמתגלה, כשהפעם זהו שוב תורה של מיקרוסופט, שחולשת אבטחה חמורה במערכת הענן שלה הובילה לכך שמידע של אלפי לקוחות היה חשוף לחלוטין בפני כל מי שידע על קיומה. החלק המעניין בסיפור הוא מי שגילתה את החולשה: חברת Wiz של יוצאי מיקרוסופט ובראשה אסף רפפורט. כזכור, רפפורט אף מינכ”ל את מרכז הפיתוח של החברה בישראל וגם היה אחראי על תחום ה-Cloud Security שלה.

פיצ’ר חדש עם שגיאות קונפיגורציה

החולשה שנמצאה היא בשירות הדאטה-בייס של Azure שנקרא Cosmos DB, המאפשר עיבוד וניהול של מידע בזמן אמת. לפי האתר הראשי של קוסמוס, בין לקוחות השירות תוכלו למצוא כמה ענקיות כמו קוקה-קולה, Asos, סימנטק, סקייפ, Kohler ו-Exxon.

ניר אוכפלד ושגיא צדוק מ-Wiz מסבירים כי החולשה נוספה לשירות ב-2019, אז הוסיפה מיקרוסופט פיצ’ר חדש תמיכה ב-Jupyter Notebook (פורמט בקוד פתוח שמאפשר כתיבה, עריכה וויזואליזציה של מידע מבוסס JSON). הבעיה היא שמספר קונפיגורציות שגויות יצרו את הפתח שחוקרי האבטחה של Wiz גילו, ומאפשרות לגשת למפתחות הראשיים של המשתמשים, ומשם לכל מידע הרגיש ביותר של החברות שמאוחסן בשירות. בפברואר 2021 מיקרוסופט הפעילה את פיצ’ר התמיכה בג’ופיטר נוטבוק עם חולשת האבטחה המובנית שלו כברירת מחדל אצל כל לקוחות קוסמוס החדשים.

תמונה: Wiz

אחרי שהשיגו את המפתחות, החוקרים הצליחו לקבל גישת אדמין מלאה לכל המידע המאוחסן של משתמשי Cosmos DB, עם הרשאות קריאה, כתיבה וגם מחיקה כמובן. “זוהי החולשה הגרועה ביותר שאתם יכולים לדמיין בענן”, אמר עמי לוטבק, CTO ב-Wiz, שמסביר כי החברה הצליחה לקבל גישה לכל מאגר מידע של כל משתמש בג’ופיטר. בשלב הנוכחי Wiz לא משתפת באופן הפעולה שלה שהוביל לחשיפת החולשה, אך מבטיחה לעשות זאת “בקרוב”.

לטענת החוקרים של Wiz, צוות האבטחה של מיקרוסופט ניטרל את החולשה בתוך 48 שעות מרגע הדיווח הראשוני. עם זאת, אם שחקן רע גילה את החולשה לפני Wiz, חלק נכבד מלקוחות קוסמוס נותרים חשופים. על כן, מיקרוסופט שלחה מיילים ליותר מ-30% ממשתמש קוסמוס ובו היא מפצירה בהם להחליף את מפתחות הגישה בהקדם. לטענת החוקרים ב-Wiz, הם עדיין מאמינים שמשתמשים רבים בקוסמוס עדיין חשופים לגניבת מידע רגיש בעקבות העובדה שהחולשה הייתה קיימת במשך חודשים לכל הפחות.

ובכל זאת, כמה מילות הרגעה

ובכל זאת, חשוב לציין כי אמנם פיצ’ר ה-Jupyter Notebook הופעל כברירת מחדל לכל הלקוחות החדשים החל מפברואר, אך אם הצוות שלכם לא השתמש בפיצ’ר במהלך 3 הימים הראשונים להפעלתו, הוא נוטרל בצורה אוטומטית, כך שתיאורטית, שחקן רע היה יכול לנצל את החלון היחסית מצומצם הזה כדי להכנס למאגר המידע שלכם.

במיקרוסופט טוענים כי על פי החקירה שלהם, לא נמצאה שום עדות לכך שמידע של לקוחותיה נחשף בעקבות החולשה, אך הלקוחות שהמפתחות שלהם נחשפו קיבלו התראה להחליף אותם. אם התחלתם להשתמש ב-Azure רק בשנת 2021, או שהצוות שלכם השתמש בג’ופיטר, אתם יכולים לעקוב אחרי הצעדים שמיקרוסופט מפרטת כאן כדי לוודא שאתם מוגנים.

Wiz ביצעה תהליך אסגרה של החולשה אל מול מיקרוסופט, אותה היא כינתה ChaosDB, מה שזיכה את החברה בפרס של 40,000 דולר. אמנם זוהי טיפה בים של הסטארטאפ בן השנתיים שכבר גייס כ-350 מיליון דולר, אבל זהו אפילו לא הפעם הראשונה שמיקרוסופט מעבירה סכומי כסף מכובדים לצוות של Wiz.

מרעננים? רוצים להשתדרג? מרעננים? רוצים להשתדרג? עשרות משרות שוות מחכות לכם עכשיו ב-Riskified

הצטרפו למיקרוסופט ועזבו אותה – ביחד

נזכיר כי את Wiz הקימו אותה חבורת יזמים שהקימה ביחד את Adallom, סטארטאפ סייבר שנמכר למיקרוסופט תמורת 320 מיליון דולר ב-2015. הסטארטאפ נבלע בתוך פעילות הסייבר של מיקרוסופט. מנכ”ל אדאלום, אסף רפפורט, קודם אט-אט בשרשרת ההנהלה של מיקרוסופט, ומהאחראי על הסטארטאפים החדשים שהענקית מרדמונד רוכשת, הוא התקדם למשרת מנכ”ל מרכז הפיתוח של מיקרוסופט בישראל, לא לפני שעצר בתפקיד האחראי על תחום ה-Cloud Security כולו. מעט אירוני בהתחשב בעובדה ש-Wiz חשפה כעת את אחת מחולשות האבטחה הקשות בתולדות הענן של מיקרוסופט. את אוכפלד וצדיק, צמד החוקרים שגילו את החולשה, “חטפה” Wiz ישר מידיה של ענקית סייבר ישראלית אחרת, צ’קפוינט רק לפני חודשים ספורים – כך עולה מנתוני לינקדאין של השניים.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

4 תגובות על "מי חשף את פרצת האבטחה החמורה של מיקרוסופט? יוצאי מיקרוסופט הישראלים כמובן"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יאיר
Guest

אאממ.. מי שפיתח בעבר בודק את עצמו בעתיד? אחלה סטארטאפ בפני עצמו

אליקו
Guest

יפה שמי שעבד במקום והכיר את החולשות מציג אותן לציבור

נועה קירל
Guest

אה שגיא צדיק

אור
Guest

לדעתי הפריצות האלו השותלו בכוונה לשימוש עתידי עבור רשויות הביון האמריקאיות

wpDiscuz

תגיות לכתבה: