פרצת אבטחה חמורה עלולה לפגוע במאות מיליוני מחשבי Windows 10

פרצת אבטחה חמורה התגלתה במערכת ההפעלה Windows 10 מבית מיקרוסופט. הענקית מרדמונד שחררה טלאי אבטחה מעודכן אמש (ג').

מערך הסייבר הלאומי קרא לציבור הרחב ולארגונים להתקין בהזדמנות הראשונה את עדכון האבטחה שמיקרוסופט שחררה. החברה משחררת מדי חודש עדכוני אבטחה, אולם פרצת האבטחה שהעדכון שלה פורסם אמש נחשבת חמורה במיוחד בשל היקפה החריג. הפרצה נוגעת למערכות ההפעלה Windows 10, Server 2016, 2019 ו-Server core, הנפוצות מאוד ומותקנות על מאות מיליוני מחשבים בעולם.

הפגיעות נמצאת ברכיב קריפטוגרפי בן עשרות שנים, שמצוי ב-Windows ומכונה CryptoAPI. לרכיב יש מגוון פונקציות, שאחת מהן מאפשרת למפתחים לחתום באופן דיגיטלי את התוכנה שלהם, ובכך להוכיח שהיא תוכנה שלא עברה שינויים שעלולים להזיק. אלא שהבאג עלול לאפשר לתוקפים לזייף תוכנות לגיטימיות, ובכך להקל על הפעלת נוזקות, דוגמת כופרה, במחשב הפגיע.

"למשתמש לא תהיה שום דרך לדעת אם הקובץ היה זדוני, מכיוון שהחתימה הדיגיטלית תיראה כאילו היא באה מספק מהימן", מסרה מיקרוסופט. לדברי CERT-CC, מרכז גילוי הפגיעויות באוניברסיטת קרנגי מלון, ניתן להשתמש בבאג גם כדי ליירט ולשנות תקשורת HTTPS (או TLS). מיקרוסופט מסרה שהיא לא מצאה שום הוכחה לפיה הבאג נוצל באופן פעיל על ידי האקרים, וסיווגה את הפרצה כ-"חשובה".

האם ה-NSA השתמשה בפגיעות להתקפות לפני שיידעה את מיקרוסופט?

ה-NSA, הסוכנות לביטחון לאומי של ארצות הברית, אישרה כי היא זו שמצאה את הפגיעות והעבירה את הפרטים למיקרוסופט, שבנתה את עדכון האבטחה.

אן נויברגר, ראשת מנהלת אבטחת סייבר ב-NSA, אישרה את הדיווח של מיקרוסופט שלא נמצאו עדויות לכך שהאקרים ניצלו את הפרצה. היא אמרה שברגע שהתגלה הפגיעות, היא עברה את תהליך הערכת הסיכון, ולאחריה תהליך קבלת ההחלטות, המשמש את הממשל האמריקני כדי לקבוע מהי דרך הפעולה שתיושם – האם לשמור על השליטה בפגיעות כדי לנצל אותה לפעילות סייבר התקפית או האם לחשוף אותה לספק. לא ידוע אם ה-NSA השתמשה בבאג לצורך פעולות התקפיות לפני שהוא דווח למיקרוסופט. יצוין כי הסוכנות עשתה כך בעבר.

לפני כשנתיים נמתחה ביקורת על ה-NSA, על שניצלה פגיעות ב-Windows לצורך ביצוע מעקב – במקום להתריע בפני מיקרוסופט על הבאג. אז היה ניצול של חולשה בשם EternalBlue, כדרך להגעה למחשבים פגיעים בחשאי, דרך דלת אחורית. אולם לאחר מכן, החולשה הודלפה ושימשה להדבקה של מאות אלפי מחשבים בכופרה WannaCry.

ההאקרים עלולים לנצל את הפרצה בקרוב

על אף שטרם נצפו תקיפות המנצלות פרצה זו, במערך הסייבר העריכו אמש כי לא ייקח זמן רב עד שפגיעויות אלה ישמשו בפועל למתקפות סייבר. זאת, כי פוטנציאל התקיפה דרכן חריג בהיקפו. המשמעות היא שכל מחשב שמריץ גרסה פגיעה של מערכת ההפעלה עלול להוות יעד לתקיפה בפוטנציה, אם לא יעודכן בו עדכון האבטחה הנוכחי.

לכן, מערך הסייבר הלאומי קורא לציבור ולארגונים לוודא שמערכות ההפעלה שלהם מעודכנות עם העדכון האחרון. המערך ציין כי הנחיות נוספות נמצאות באתר שלו וכי ניתן להסתייע במרכז המבצעי של מערך הסייבר, בחיוג ישיר 119.