חברת סייברארק (CyberArk Labs) הישראלית חשפה טכניקת מתקפה חדשה שגילתה בשם BoundHook, המאפשרת לתוקפים לשנות את התנהגות מערכת ההפעלה ווינדוס 10, ולהריץ קוד מסוים בתהליכים של אפליקציות אחרות מבלי להתגלות על ידי תוכנות אנטי-וירוס ומוצרי אבטחה אחרים.
לדברי מומחי אבטחת המידע של סייברארק, כל משתמשי ווינדוס 10 בעלי מעבדי אינטל שנוצר משנת 2014 והלאה חשופים לטכניקה זו - סך הכול, יותר מ-400 מיליון מכשירים. לפי "חוקי החולשות" של מיקרוסופט, בגלל שמדובר בטכניקה שאחרי פריצה ראשונית (post-expoloit), החולשה אינה תקפה וסייברארק דיווחה על הפרצה לחברה.
גורם במיקרוסופט אמר כי "אופן הפעולה המתואר בדוח השיווקי אינו מייצג פגיעות אבטחה (Vulnerability) במערכת ההפעלה אלא תקיפה במחשב שכבר התבצעה אליו חדירה (Compromised), ולאחר שהופץ אליו הקוד הזדוני Post exploitation. אנו מעודדים לקוחות לשמור תמיד על המערכות שלהם מעודכנות להגנה הטובה ביותר".
בפעם הקודמת שנחשפה טכניקת תקיפה מסוג דומה על ידי סייברארק, הודיעה החברה למיקרוסופט וקיבלה תשובה כי "השלמנו את חקירתנו בנושא וגילינו שלא מדובר בפרצה אלא בטכניקה להתחמקות מגילוי אחרי שמערכת ההפעלה כבר חשופה. זה לא עובר את הרף הדורש עדכון אבטחה אבל נשקול לתקן את זה בגרסאות עתידיות של ווינדוס".
הטכניקה שגילתה סייברארק מאפשרת לתוקף לשמר אחיזה על מחשב חשוף ולהסתתר במערכת שכבר נפרצה. בתקיפה זו מנוצל פיצ'ר במעבדי INTEL משנת 2014 ומעלה, על מנת לשלוט במערכת ההפעלה. הטכניקה הקודמת שנחשפה נקראת GhostHook והיא עוקפת לגמרי את פעילותה של מיקרוסופט למנוע מתקפות.
מה שמרתק בטכניקת המתקפה הזו, היא שהיא ממנפת את התכנון עצמו של שבב אינטל, שנבנה בדיוק על מנת למנוע מתקפות כאלה באמצעות שימוש ברכיב אינטל נגד עצמו. דווקא אותו פיתוח המשלב חומרה, הוא זה שמאפשר לפרוץ למחשב בצורה שלא ניתנת לגילוי כרגע.
הפעולה המשמעותית הראשונה שהתוקפים יבצעו אחרי ההדבקה היא לגנוב בדרכים שונות חשבונות של משתמשים בעלי הרשאה גבוהה שיאפשרו לתוקף גם לבצע פעולות מורכבות וגם יעניקו גישה למשאבי חברה קריטיים ומידע רגיש. הדרך להתמודד עם ההתקפה הזו, ועם תהליכים דומים, היא להגן על משתמשים פריווילגים עם הרשאה גבוהה.
>> לעוד כתבות מעניינות - עקבו אחרינו גם בפייסבוק.