נחשפה חולשת אבטחה במנגנון חיבור מרחוק של מיקרוסופט

חוקרי סייברארק (CyberArk) חשפו אמש (ג') מחקר חדש על חולשת אבטחה בפרוטוקול פופולרי של מיקרוסופט, שמאפשר חיבור למחשב, או שרת מרוחק.

החולשה מאפשרת לכל משתמש המחובר למכונה מרוחקת דרך פרוטוקול RDP (ר"ת Remote Desktop Protocol), גישה למחשבים של משתמשים אחרים, וכך יוצרת סיכון גבוה יחסית לכל ארגון שמשתמש בפרוטוקול. RDP הוא פרוטוקול פתוח, שמיקרוסופט פיתחה, והוא משמש כסטנדרט בחיבור למכונת חלונות (Windows).

באמצעות גישה למחשב של הקורבן שהתחבר למכונה המרוחקת, התוקף יכול להגיע לקבצים והספריות שלו, לשנות את המידע, או לגנוב אותו, ולשתול קבצים שיכולים להוביל בקלות להשתלטות על המחשב. בנוסף, במקרים בהם נעשה שימוש בכרטיס חכם להזדהות מול המכונה המרוחקת, התוקף יכול להשתמש בכרטיס שמחובר למחשב של הקורבן ובאמצעותו להתחבר למחשבים אחרים.

"ארגונים בכל העולם משתמשים ב-Windows RDP"

חוקרי ענקית האבטחה הישראלית ציינו כי "החולשה משמעותית, כי ארגונים בכל העולם משתמשים ב-Windows RDP  לצורך עבודה מרחוק, מה שהופך אותו למטרה מרכזית עבור תוקפים. לגבי פריצת כרטיסים חכמים, בהם משתמשים לאימות, בעיקר במגזר הממשלתי, החולשה מאפשרת לתוקף להתחבר לכל שירות, על אותה מכונה או מכונות אחרות, תוך שימוש בכרטיס החכם של הקורבן והקוד שלו (PIN number) – וכך להתחזות לקורבן. כך, התוקף יכול גם להשיג הרשאות פריבילגיות וגישה למידע רגיש במיוחד.

לדברי גבריאל שטיינוורסל, ארכיטקט תוכנה בסייברארק, "התחברות למכונה מרוחקת היא פעולה שמבוצעת באופן שכיח למדי בארגונים. לכן, במקרה של חיבוריות בעבודה מהבית: כאשר יש עובדים רבים מהבית שצריכים להתחבר לרשת הפנימית – אחת האפשרויות הנפוצות היא להתחבר עם RDP. כך, אפשר לחבר שרת אחד שיתחבר לרשת, ומשתמשי הקצה מתחברים אליו. כך גם כשאנשי תמיכה טכנית מתחברים לתחנות קצה לצורך התקנות ופתרון בעיות. עוד שימוש שכזה הוא בעת הפעלת מחשב משותף חזק במיוחד, או עם חומרה מיוחדת, אז העובדים יכולים להתחבר אליו, לבצע את המשימה הנדרשת, ולהתנתק. מקרה נוסף הוא בקרב ארגוני פיתוח, שמייצרים סביבות עם הרבה מכונות וירטואליות לצורך פיתוח ובדיקות".

ממצאי המחקר הועברו למיקרוסופט, שהוציאה לחולשה תיקון תוכנה. חוקרי סייברארק ממליצים לארגונים להטמיע את העדכון באופן מיידי.