חוקרים חשפו סדרת חולשות אבטחה בטימס

נחשפה סדרת חולשות אבטחה בטימס, פלטפורמת העבודה השיתופית של מיקרוסופט, שלה יותר מ-320 מיליון משתמשים חודשיים ברחבי העולם. צוות המחקר של צ'ק פוינט הישראלית הוא שחשף היום (ג') את סדרת החולשות.

לפי החוקרים, החולשות שאותרו מאפשרות לתוקפים לערוך הודעות קיימות, לזייף התראות, לשנות שמות משתמשים ולהתחזות למנהלים בכירים – וכל זאת בלא לעורר חשד מצד המשתמשים או ממערכות ההגנה הארגוניות. "והכי קריטי", כתבו החוקרים, "גילינו שגם משתמשים אורחים חיצוניים וגם שחקנים זדוניים פנימיים עלולים לשנות ביעילות את הזהות שלהם, כדי להיראות כאנשי צוות מהימנים, כולל מנהלים ברמת C (הרמה הגבוהה ביותר – י"ה), ולפרוץ באופן מהותי את גבולות האמון שארגונים מסתמכים עליהם לתקשורת מאובטחת".

יותר ויותר האקרים מתמקדים בפלטפורמות כמו טימס

בדו"ח נכתב כי "בשנים האחרונות אנחנו עדים לשחקני איום מתוחכמים, כולל קבוצות בחסות מדינה ושחקנים של מדינות לאום, שמתמקדים יותר ויותר בפלטפורמות שיתוף פעולה וכלי תקשורת, כחלק מקמפיינים רחבים יותר של ריגול וחילוץ נתונים".

"שחקני איומים מנצלים את האמון המובנה שמשתמשים נותנים בממשקי תקשורת וסביבת עבודה מוכרים, תוך שימוש בטקטיקות של הנדסה חברתית. הם עושים זאת כדי לתמרן עובדים. הם מכוונים במיוחד לתשתית עבודה מרחוק, כי אלה הפכו לתשתית עסקית קריטית. גילינו שניתן לחתור תחת מנגנוני האמון של טימס, וזו דוגמה אחת לבעיה רחבה יותר: תוקפים עלולים לנצל אמון בכלי סביבת עבודה מודרניים", נכתב בדו"ח.

הפגיעויות שנחשפו

חוקרי צ'ק פוינט חשפו ארבע פגיעויות. הראשונה היא זיוף זהות בשיחות קוליות ו-וידיאו. לפי המחקר, בשלב ייזום השיחה, טימס שולחת למשתמשים את שם המתקשר. החוקרים מצאו שניתן לשנות שדה זה כך שהשיחה תיראה כאילו היא מגיעה ממישהו אחר. כך יכול תוקף לגרום לעובד לענות לשיחת וידיאו שמופיעה כהתקשרות מהמנכ"ל, ולמסור מידע רגיש או גישה למערכות הארגון.

חולשה שנייה שנחשפה היא עריכת הודעות מבלי שיופיע סימון "נערך". החוקרים מצאו שניתן לשנות את ההודעות הפנימיות, כך שהמערכת תציג הודעה חדשה במקום הישנה, בלא לסמן שהיא נערכה. זה מאפשר לתוקף, למשל, לשנות את תוכן השיחה לאחר מכן, לעדכן סכום תשלום, להוסיף הוראה עסקית או לשנות פרטי חשבון. כל זאת, בלא שהמשתמשים יבחינו בשינוי.

החולשה השלישית היא זיוף התראות (Notification Spoofing). הם כתבו ש-"באמצעות שינוי בשדות הזהות של הודעה, ניתן לגרום להתראה להיראות כאילו נשלחה ממנהל בכיר או מעובד אמיתי. כיוון שהתראות נתפסות כהודעות אמינות ודחופות, הן הופכות לכלי מניפולציה – עם בקשות לפעולה או לאישור מיידי למסמך, בלא לבדוק לעומק".

עוד חולשה שהחוקרים מצאו היא שינוי שמות שיחות ושמות תצוגה. אנשי צ'ק פוינט גילו שניתן להפעיל את פונקציית שינוי "נושא השיחה" – גם בשיחות פרטיות, כך שהכותרת או השם שמופיעים בחלון הצ'ט משתנים ומציגים זהות שאינה שייכת לצד שממנו נשלחו ההודעות. כך, עובד שמקבל בקשה לשתף קובץ רגיש או לעדכן הרשאות גישה יעשה זאת בהנחה שהוא עוזר לעמית, בעוד שבפועל הוא העניק גישה לתוקף.

לפי המחקר, המערכת סומכת על מידע שמתקבל מהמשתמשים, כמו שם השולח, נושא השיחה או פרטי השיחה הנכנסת – ומציגה אותו ישירות למשתמשים האחרים, מבלי לאמת אותו תמיד באופן הדוק. "זהו מנגנון נוח לשימוש, אך הוא מהווה פתח לניצול", כתבו החוקרים.

"לכופף" את מנגנוני האמון הפנימיים בטימס

במקום לפרוץ מבחוץ, החוקרים הראו שניתן "לכופף" את מנגנוני האמון הפנימיים של טימס ולגרום לפלטפורמה עצמה להציג מידע שגוי – אך אמין. כך, ניתן לגרום לעובד לראות הודעה מזויפת מהמנכ"ל, שיחת וידיאו מזויפת ממנהל אחר או שיחה פרטית שנראית כאילו היא מתנהלת עם אדם אחר לחלוטין.

"במילים אחרות", הסבירו בצ'ק פוינט, "המתקפה לא פוגעת בתשתית – היא פוגעת בתפיסה".

"סיכונים בעולם האמיתי"

עורכי המחקר כתבו כי "החולשות יוצרות סיכונים בעולם האמיתי: התחזות למנהלים, הונאה פיננסית, אספקת נוזקות, קמפיינים של מידע שגוי ושיבוש תקשורת רגישה".

עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט. צילום: יח"צ

לדברי עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט: "הממצאים מדגישים כי מעבר לפגיעה טכנית נקודתית, יש כאן סיכון מבוסס אמון. תוקפים מנצלים את האמון שהמשתמשים נותנים באפליקציות מוכרות בתוך פלטפורמות עבודה. אלה מהוות כיום וקטור תקיפה שמשתלב בהנדסה חברתית. זו בעיה שלא נפתרת רק בעדכון תוכנה".

הוא הוסיף כי "ההגנה היעילה דורשת שילוב של אימות זהויות ברמת הפעולה, בקרה רב שכבתית על הודעות, קבצים וקישורים, וכן חינוך של עובדים לזיהוי אותות חשודים ונהלים לאימות חיצוני לביצוע פעולות רגישות". ואנונו ציין ש-"בעידן של כלי אוטומציה ובינה מלאכותית, אסטרטגיית אבטחה חייבת להתייחס לא רק לטכנולוגיה – אלא גם לאופן שבו אנשים תופסים ומגיבים למידע דיגיטלי. הפגיעויות שחשפנו מראות כיצד תוקפים עלולים לשחוק את האמון הבסיסי שבכלי שיתוף הפעולה ולהפוך את טימס ממאפשר עסקי לווקטור להונאה".

חוקרי צ'ק פוינט דיווחו על הפגיעויות למיקרוסופט עוד במרץ 2024. החברה הוציאה בעקבותיו תיקונים לבעיות. בימים האחרונים, כל הפגיעויות נפתרו.