נחשפה פרצת אבטחה חמורה בתשתית הענן Azure של מיקרוסופט – ותוקנה

פרצה שנחשפה על ידי חברת האבטחה סייברארק יכולה לאפשר לתוקפים להשתלט על חשבונות משתמשים בארגונים המשתמשים ב-Azure של מיקרוסופט. החולשה מקושרת ליישום האימות OAuth 2.0 של החברה, והיא מאפשרת להאקרים ליצור אסימוני זיהוי עם הרשאה מלאה של הקורבן, כך שהם מקבלים גישה מלאה לחשבון שלו ויכולים לבצע פעולות בשמו.

חוקרי מעבדות סייברארק, שהעניקו לפרצה את הכינוי BlackDirect, הוסיפו, כי גניבת הזהות יכולה להתבצע בלי שהמשתמש האמיתי בכלל מרגיש בכך, וכן שמדובר בחשיפה שיכולה להיגרם עבור כל עובד במערכת, כולל אנשי ה-IT בארגון. פריצה לחשבון כזה יכולה לגרום לנזקים חמורים במיוחד, כי היא יכולה לספק הרשאות לביצוע מגוון פעולות – החל ממחיקת משתמשים בארגון ואפילו כולם, דרך הוספת חשבונות של מינהלנים שאינם קיימים, גניבת מידע רגיש ועד להשבתה של כל סביבת הענן של אותו ארגון ואת כל הפעילות שלו.

לפי המחקר, פרוטוקול האימות בפני עצמו מאובטח, אבל יישום והגדרה לא נכונים שלו יכולים לפתוח את הפרצה ההרסנית, ולפי ההערכה מדובר במאות מיליוני מערכות קצה. טכניקת המתקפה עושה שימוש בהעברת קישור זדוני למותקף, כשלחיצה על אותו קישור מעבירה באופן אוטומטי את זהות המשתמש המותקף אל התוקף, וזאת ללא צורך בהרצת קוד בתחנת המותקף. באותה מידה אפשר לשלב דיוג ולהוביל את המותקפים לאתר אמין בעיניהם ובו לבצע את גניבת הזהות

"סביבות מודרניות רבות משתמשות כיום בדרכי אימות זהות מתקדמות. לצד היתרונות הרבים יש גם חסרונות, לדוגמה: החולשה שמצאנו ומאפשרת לגנוב את החשבון של המשתמש. פוטנציאל התקיפה שזיהינו גדול במיוחד כיוון שהוא מאפשר לעקוף את מנגנון האימות הדו-שלבי בענן של מיקרוסופט, כולל שימוש בסיסמה וקוד המועבר באמצעות מסרון, סיסמה ושימוש בדיסק-או-קי וכדומה. הסיבה היא שהחולשה גונבת את הישות הדיגיטלית שכבר אומתה על ידי המערכת לאחר הסיסמה והאימות הדו-שלבי", אמר עומר צרפתי, חוקר במעבדות סייברארק.

החולשה שחשפה סייברארק דווחה למיקרוסופט, שכבר הוציאה תיקון שסוגר את הפרצה.

צבי קצבורג