מיליארדי מחשבים היו בסיכון: חוקרים ישראלים זיהו פרצת אבטחה שאיימה על חלק ניכר מהמחשבים בעולם. הפרצה, שהשפיעה על מיליארדי מחשבים, שרתים ומכשירים איפשרה להאקרים לפרוץ לקרביים שלהם על ידי ניצול מנגנון שנקרא SMM או System Management Mode. בני זלצר ויהונתן לוסקי, חוקרים ממעבדת הסקיוריטי של אינטל, הם אלה שזיהו את הבעיה והובילו לתיקונה.
3 צפייה בגלריה
חוקרים ישראלים חשפו פרצת סייבר שאיימה על רוב המחשבים בעולם
(עיבוד תמונה. צילום: shutterstock)
עוד כתבות שיעניינו אתכם:
הגילוי עצמו היה אמור להתפרסם בשניים מכנסי הסייבר מהחשובים בעולם, Black Hat ו-DefCon, כבר באוגוסט של השנה שעברה (2022), אבל יצרניות המחשבים היו זקוקות לזמן נוסף כדי לטפל בבעיה, ולכן ברגע האחרון עלתה בקשה חריגה שלא לפרסם את הממצא המרעיש. אנשי אינטל הסכימו להמתין, ובחודשים האחרונים התבצע תיקון חריג וענק בהיקפו לכל המחשבים על ידי היצרניות שהושפעו. בעקבות השלמת המהלך, הממצאים יוצגו בכנס האבטחה הישראלי BlueHat IL שייערך בסוף חודש מרץ.
דרך קלה להשתלטות על המחשב שלכם
כל מחשב או שרת מופעלים על ידי מערכת הפעלה, אבל זו לא תמיד נמצאת בשליטה. מדי פעם המעבד (השבב שמהווה את המנוע של המחשב), נכנס למצב הקרוי System Management Mode או SMM, שבמסגרתו הוא מטפל בחיבור של חומרה לתוכנה שרצה על המחשב, למשל כשרוצים לעשות שימוש בעכבר או במקלדת. מדובר במצב רגיש שבו השליטה איננה נתונה למערכת ההפעלה וזאת משום שכל שגיאה אפשרית עלולה לגרום לנזק בלתי הפיך או לחילופין לגישה למידע רגיש.
החוקרים מצאו שניתן להערים על אותו SMM ולייצר בקשות אשר משנות את תוכנן תוך כדי טיפול בה. חולשות כאלה מכונות time-of-check to time-of-use או TOCTOU בסלנג של מפתחים. דמיינו שאתם שולחים דרך האפליקציה של הבנק בקשה להעביר 20 שקל לאדם אחר, אבל האקר משנה את הבקשה ל-20 אלף שקל שיועברו לחשבון אחר. זאת אומרת שלאחר בדיקת תוכן הבקשה, זו משתנה ומוחלפת על ידי בקשה זדונית.
התוצאה של התהליך הזה היא אחת - האקר יכול להשיג שליטה מלאה על המחשב או השרת שאליו חדר בלי להידרש להרשאות מנהל. במילים פשוטות, ניתן לגרום למחשב להעניק גישה מלאה לכל הנתונים שיש עליו - כולל נתונים מוצפנים - לכל מי שרוצים. עד היום סברו כי התקפה זו תיאורטית לחלוטין אך החוקרים הציגו דרך ייחודית שבאמצעותה ניתן לבצע זאת.
זלצר ולוסקי הם חוקרי אבטחה באינטל בקבוצה מאוד ייחודית שנקראת iSTARE המשמשת לדימוי של מתקפות האקרים. העבודה שלהם היא למצוא את הדרכים שבהן האקרים יכולים לעשות שימוש כדי לחדור למחשבים. הקבוצה יושבת באינטל חיפה, עם צוות של כ-15 חוקרים מומחים בתחום. המעבדה מנתחת ותוקפת מדי יום את רכיבי החומרה של החברה במטרה אחת - לאתר חולשות אבטחה פוטנציאליות לפני שהאקרים חיצוניים ימצאו אותם.
פרצות מעין אלה מתגלות לא פעם ברמת מערכת ההפעלה אבל גם (נדיר יותר) ב-BIOS, או כפי שהוא נקרא בגלגולו המודרני – UEFI. מדובר בשכבת תוכנה שקיימת בכל מחשב בעולם ואחראית על הפעלת המחשב לפני שמערכת ההפעלה נטענת. כבר היו מחקרים שמצאו פרצות ב-UEFI, למשל אחת שזוהתה לפני כשנתיים על ידי חוקרי סנטינל וואן הישראלית, אך מעולם לא זוהתה פרצה שהיא כל כך נרחבת בהיקפה כפי שהתגלה כעת.
"הגילוי קרה אי שם בימיה המוקדמים של מגפת הקורונה שבה כולנו עבדנו מהבתים שלנו", סיפרו החוקרים ל-ynet, "ישבנו ביחד ב-Teams והסתכלנו על פיסת קוד שנראתה לנו מעניינת, בהחלטה של רגע זיהינו את הבעיה אשר ציינו ותהינו האם נוכל לנצל את אחת מהתקפות החומרה אותן אנו מכירים. לצערנו ולשמחתנו, היא עבדה".
גם בלינוקס זה היה קורה
"תהינו עד כמה הבעיה הינה רחבה והחלטנו לבחון עוד מספר מחשבים, וכך מצאנו בעיות דומות, מחשב אחר מחשב", הם מספרים, "למעשה גילנו שמדובר בבעיה עולמית וחסרת תקדים בבחינת היקפיה".
החוקרים המשיכו ומצאו את הבעיה במחשבים של שמונה יצרניות גדולות מאוד. המשמעות היא שמדובר בחולשה שמשפיעה על רבים מאיתנו. עם זאת, ולמרות שחולשות מעין אלה קיימות, לפעמים הן דורשות תנאים מקדימים כדי להפעיל אותן. במקרה הנוכחי, התנאי היחיד היה שההאקר ימצא דרך לקבל גישה למחשב. "מספיק שנפגעתם ממתקפת פישינג (למשל בגלל שהקלקתם על מייל מתחזה או הודעה עם קישור זדוני - ר''ק), ההאקר קיבל גישה למחשב - וזהו בערך", מסביר זלצר.
לדבריו, "תוך כמה שניות הפורץ היה יכול לקבל הרשאות לעשות מה שהוא רוצה על המחשב. מערכת ההפעלה לא הייתה רואה אותו, בגלל שהוא קיבל הרשאות מוחלטות לעשות מה שהוא רוצה. בנוסף, אף אנטי-וירוס לא היה רואה את הפעילות של ההאקר או היה יכול לזהות את החתימה של המהלך. לאחר מכן ההאקר יכול היה לעשות כל מה שעולה על דעתו, לפרוץ לארנק ביטקוין על המחשב, להיכנס לכל קובץ מוצפן ואפילו לגרום להריסת המחשב". חשוב לציין שלא ידוע אם חולשת האבטחה נוצלה אי פעם לרעה על ידי גורמים זדוניים.
את החולשה מכנים החוקרים RingHopper וזאת בגלל היכולת שלה להפוך כל משתמש פשוט לבעל הרשאות מוחלטות. "זה מאפשר לך לשנות כל דבר במחשב, גם בלינוקס, המחשבים היחידים שלא סובלים מהבעיה הם מתוצרת אפל", מסבירים החוקרים. כאמור, אין כמעט יצרנית שמחשבים שלה לא נפגעו מהבעיה, כך שמדובר באירוע נדיר מאוד מסוגו. "לא בכל יום חוקר נתקל בתופעה כל כך רחבה", אומר אורי בר, מנהל מעבדת הסייבר של אינטל בחיפה.
