נחשפו חולשות קריטיות במערכת ההגנה של מיקרוסופט על התקני IoT

לפני ימים אחדים נחשפו כמה חולשות קריטיות ב-Azure Defender For IoT – מערכת ההגנה של מיקרוסופט על התקני אינטרנט של הדברים. את החולשות החמורות ביותר חשף צוות המחקר של סנטינל וואן הישראלית, בראשות החוקר דקל כסיף והחוקר העצמאי רונן שוסטין.

החשיפה בוצעה לפני תשעה חודשים, אולם פורסמה רק כעת. חוקרי חברת הסייבר דיווחו עליה עם חשיפתה לענקית מרדמונד. מיקרוסופט העניקה לשתיים מחמש החולשות – CVE-2021-42311 ו-CVE-2021-42313, שהן נוזקות מסוג "הזרקת SQL" – את הדירוג הגבוה ביותר מבחינת הקריטיות שלהן: ציון CVSS 10.

החוקרים חשפו כמה חולשות, שמאפשרות לתוקף להריץ מרחוק קוד ולעשות זאת על מערכות IT של ארגונים – גם כאלה שנמצאות תחת דרישה להרשאות גבוהות. זאת, בלי לערוך אימות: כל שדרוש הוא ידיעה של כתובת ה-IP של המשתמש.

Azure Defender for IoT, ששמו שונה בינתיים ל-Microsoft Defender for IoT, הינו מוצר אבטחה המבוסס על טכנולוגיה של CyberX הישראלית, שנרכשה על ידי מיקרוסופט. המוצר מותקן ברשת של הלקוח הארגוני ומבצע ניתוח של התעבורה הפנים ארגונית (DPI – Deep packet inspection). על ידי התקנה של כמה "חיישנים" כאלה ברשת של הלקוח, המערכת ממפה את התעבורה ומסוגלת לזהות התקנים חכמים – מדפסות, מקררים חכמים ועוד, וכן התקנים תעשייתיים שפועלים בפרוטוקולים שונים, כגון SCADA. החוקרים ציינו כי החולשות שהתגלו תקפות הן ב-"חיישנים" שמותקנים ברשת והן בקונסולת הניהול.

לדברי החוקרים, "חולשות אלה מדאיגות במיוחד, כיוון שמדובר במוצר הגנה וגם כי הן מעניקות לתוקף אפשרות לחדור לארגון ולקבל נראות של כל התעבורה הארגונית. בדרך זו התוקפים מסוגלים להוציא לפועל מתקפות מסוג Man in the middle".

מומחים: מיקרוסופט לא נהגה בשקיפות מלאה

החולשות התגלו ביוני האחרון ובמיקרוסופט החלו לעבוד על פיתוח טלאים חודש לאחר מכן. מומחים ציינו שהענקית מרדמונד לא נהגה בשקיפות מלאה ולא הוציאה התראה על החולשות. בתשובה לשאלה מדוע לקח להם כל כך הרבה זמן לפתח את ההטלאה, השיב דובר מיקרוסופט כי "פרצות אבטחה הן נושאים רציניים שכולנו מתמודדים איתם, וזו הסיבה שאנחנו שותפים בתעשייה ועוקבים אחר תהליך גילויי הפגיעויות, על מנת להגן על לקוחות לפני שהן הופכות לפומביות. טיפלנו בבעיות הספציפיות שהוזכרו ואנחנו פועלים כדי להבטיח שהלקוחות יישארו מאובטחים".

כאמור, הפגיעויות תוקנו מאז. מיקרוסופט, כמו גם זרוע המחקר של סנטינל וואן, לא דיווחו כי הבחינו בניצול שלהן. למרות זאת, החוקרים ציינו ש-"יש לא מעט אתגרים באבטחת רשתות טכנולוגיה תפעוליות שהולכות ומתיישנות. הדבר מקבל משנה תוקף כאשר משטח התקיפה מתרחב, בשל המספר ההולך וגדל של מכשירי IoT שמוטמעים לאורך ולרוחב הארגון". לדבריהם, "גישה של הרעים למידע רגיש ברשת עלולה להוות בסיס לכמה תרחישי תקיפה מתוחכמים. אלה עלולים להיות קשים עד בלתי אפשריים לזיהוי".