דמיינו לעצמכם שהאקרים ישתמשו בתוכנת האנטי-וירוס או באחסון הענן של המחשב או הנייד שלכם כדי להחדיר נוזקת כופר לארגון בו אתם עובדים. זה אחד מהתסריטים שפיתחו והוכיחו בחברת הסייבר הישראלית "SafeBreach". המחקר המכונה "One Drive, Double Agent" הוא אחד משלושה שזיכה את צוות המחקר שלה בזכות הנדירה - להציג אותם מעל במות כנסי הסייבר בלאקהאט ודפקון שנערכים במקביל כמעט בלאס וגאס.
עוד בנושא:
כנסים אלה נחשבים לאליפות העולם בתחום הסייבר ומומחים רבים בתחום משתתפים בהם. אבל לא רק, גם משרד ההגנה האמריקאי וארגונים דומים מרחבי העולם סורקים את הבמות של הכנסים, כדי לאתר את כשרונות הסייבר הבאים עבור ארגונים כגון ה-NSA, ה-CIA או ה-FBI ופיקוד הסייבר האמריקאי. עבור חברה ישראלית מדובר בהישג מיוחד ויוצא דופן, שכן לרוב מציגים חוקרים מחקר אחד או שניים אם יש להם מזל. שלושה מחקרים זה כבר הישג נדיר ביותר.
הממצאים של צוות המחקר של החברה כוללים ניסיונות פריצה לאפליקציות שכולנו משתמשים בהם ביום-יום. חשוב עם זאת לציין שלמרות הממצאים החמורים, בחלק מהמקרים מדובר במקרי קיצון, כלומר בתסריטים שלא סביר שנראה בקרוב בשל מורכבותם. אבל כמו בכל מחקר מדעי פורץ דרך, גם זה מגיע בשלב כלשהו. גורמים בתעשייה עימם שוחחנו אישרו את חשיבות הממצאים ואת ההישג של צוות החברה בכנסים.
המחקר הראשון שנחשף הוא פרי עבודתם של שמואל כהן ותומר בר. הוא מתאר כיצד ניתן לעקוף מוצרי הגנה, וביניהם גם את Windows Defender, האנטי-וירוס המובנה של ווינדוס. החוקרים מצאו שיטה שמשכנעת את אפליקציית ההגנה שקבצים תמימים הם זדוניים. "גרמנו להם למחוק קבצים קריטיים, כמו קבצי לוגים (קבצים שמשמשים למעקב אחר פעולות האפליקציה כדי לשחזר אותה בעת תקלה, ר"ק) ואף מאגרים שלמים של מידע. הצלחנו לעשות זאת מרחוק בלי שום גישה ראשונית למחשב. יכלנו לעשות זאת כיוון שניצלנו את הfalse-positives של מוצרי ההגנה. חיפשנו דרכים להזריק מידע שמזוהה כזדוני לקבצים לגיטימיים ואכן מצאנו המון. השילוב של הקלות בה ניתן לבצע את המתקפה הזו לעומת ההרס שהיא זורעת הוא מטורף", כך מסביר אור יאיר מסייפבריץ' ל-ynet. "הייחודיות בתקיפה הזאת היא שהיא יכולה להתבצע מרחוק כנגד המוני שרתים בעולם, לעומת האחרות שדורשות גישה בהרשאות נמוכות למחשב היעד".
ריפרש
עידן המחשוב הקוונטי מתקרב. כך הוא ישנה את חיינו / עם ניר מינרבי
47:05
המחקר השני שנערך על ידי עומר אטיאס ותומר בר, הראה כיצד לאחר הנדסה לאחור (שיטה בה מפרקים אפליקציה או מוצר כדי למצוא כיצד הוא עובד, ר''ק) של תהליך העדכון של ווינדוס דיפנדר, היה ניתן לקבל עליו שליטה כדי לקבוע את מדיניות ההגנה בהתאם למה שרוצים באותו רגע. למשל - לכבות הגנות או לגרום לו לפעול כנגד המחשב. "בגדול דיפנדר מקבל עדכונים לגבי האיומים החדשים אחת לכמה זמן, וכיצד לזהות אותם. הצלחנו ללא הרשאות מתאימות להתחזות לעדכון. כלומר, אנחנו יכולים לגרום לו להפסיק להתייחס לנוזקה מסויימת כזדונית ולהשתמש בה ללא שום הפרעה, או גרוע מזה, לגרום לו לחשוב שקבצים לגיטמיים, תמימים הם למעשה זדוניים, ולכן הוא מוחק אותם. לאחר הפעולה הזאת, המחשב כמובן כבר מושבת לגמרי ולא יכול להידלק", כך יאיר.
המחקר הבא הוא כאמור "One Drive, Double Agent" שבוצע על ידי אור יאיר. החוקרים הצליחו להפוך את השירות והתוכנה OneDrive, אפליקציית אחסון הענן של מיקרוסופט שמשמשת לגיבוי מערכת ההפעלה ולאחסון קבצים, לנוזקת כופר. החלק המפחיד והמדאיג בכך הוא שהנוזקה שנוצרת בלתי מזוהה לחלוטין ועוקפת את כל מוצרי ההגנה שנבדקו (המובילים בשוק). "וזה תוך כדי שהצלחנו לגמרי למנוע כל אפשרות של שחזור הקבצים בעזרת וואן דרייב. המצב אבסורדי בגלל שמיקרוסופט משווקת את וואן דרייב כמוצר אפקטיבי כנגד נוזקות כופר. הם ממליצים להשתמש בו ולאחסן שם קבצים חשובים כדי שגם אם תהיה מתקפת כופר - יהיה איך לשחזר את הקבצים. אנחנו בין היתר הפרכנו את זה. המחקר הראה שניתן לעקוף בשיטה זו מוצרי הגנה מובילים כגון: Microsoft Defender For Endpoint, SentinelOne XDR, Palo Alto Cortex XDR וסייבריזן".
ממיקרוסופט נמסר בתגובה: "מיקרוסופט שחררה תיקונים המטפלים בסוגיות שתוארו בדו"חות אלה. לקוחות שמתקינים את העדכונים האחרונים, או שהעדכונים האוטומטיים שלהם זמינים, כבר מוגנים. לפרטים נוספים: לקבלת מידע נוסף על התיקון הקשור למצגת "Defender-Pretender", ראה: CVE-2023-24934; התיקון המטפל בבעיית טוקן הגישה (Access token) המתוארת במצגת "One Drive, Double Agent" שוחרר מרחוק במרץ 2023".
מפאלו אלטו נטוורקס נמסר: "הפתרון לבעיה הזו ב-Cortex XDR שדווחה ל-Palo Alto Networks תוקנה בהתקני Cortex XDR עם CU-1040 וגרסאות עדכון תוכן מאוחרות יותר לכל לקוחותינו".
מסנטינל וואן נמסר בתגובה: "אנו מתייחסים לאבטחה ולבטיחות לקוחותינו וכבר טיפלנו בחולשות הפוטנציאליות שהודגשו במחקר. אנו מבטיחים שמשתמשינו מוגנים. שיתוף הפעולה שלנו עם חוקרי סייפבריץ' מדגיש את המחויבות העמוקה שלנו לאבטחה".
