הקטיקס הישראלית איתרה פרצת אבטחה במוצר שיתוף המסמכים של מיקרוסופט
הפרצה מאפשרת למשתמשי SharePoint בעלי רמת גישה נמוכה לתקוף משתמשים אחרים באמצעות קוד זדוני, ובאופן זה להשתלט על חשבונותיהם ● עופר מאור, המנהל הטכנולוגי של הקטיקס: "פנינו למיקרוסופט באופן מיידי, אולם התשובות שקיבלנו לא היו מספקות" ● לא ניתן היה לקבל את תגובת מיקרוסופט ישראל
הקטיקס הישראלית, המתמחה באיתור וזיהוי פרצות במערכות מידע, איתרה פרצת אבטחה ב-SharePoint – מוצר שיתוף המסמכים של מיקרוסופט (Microsoft). הפרצה, שהתגלתה על ידי איירין אבזגאוז, יועצת אבטחת מידע בהקטיקס, מאפשרת למשתמשים במערכת בעלי רמת גישה נמוכה לתקוף משתמשים אחרים באמצעות קוד זדוני, ובאופן זה להשתלט על חשבונותיהם.
על פי החברה, תרחיש תקיפה אפשרי הינו כאשר ארגון מממש מערכת עבודה מול ספקים מעל תשתית ה-SharePoint. באופן זה, יכול משתמש של ספק א' ליצור התקפה אשר תאפשר לו גישה למידע עסקי שעובר בין הארגון לבין ספק ב'. יש לציין, כי ניצול הפרצה אינו דורש ידע מעמיק במיוחד, דבר המעמיד ארגונים בסיכון רב לחשיפה.
SharePoint משמשת ארגונים רבים בארץ ובעולם לצורך תשתית ניהול הידע הפנים ארגונית, וגם כתשתית לניהול ידע מול ספקים ושותפים עסקיים. עופר מאור, המנהל הטכנולוגי (CTO) של הקטיקס, אמר, כי לאחר היוודע דבר הפריצה "נהגנו כמקובל ופנינו למיקרוסופט באופן מיידי, על מנת לאפשר לחברה לספק ללקוחותיה עדכון אבטחה בטרם פרסום הפרצה. להפתעתנו, תגובת מיקרוסופט הייתה, כי היא מודעת לקיומה של הפרצה, וכי זו אינה מהווה איום משמעותי ללקוחותיה. הנימוק שלהם היה שהפרצה ברת ניצול רק על ידי משתמשים קיימים במערכת, וכי קיימת אפשרות להפחית את האיום במערכת באמצעות קונפיגורציות מורכבות או ויתור על חלק מיכולות שיתוף המסמכים. יחד עם זאת, ציינה מיקרוסופט, כי בגרסת SharePoint 2010, העומדת לצאת בקרוב, איום זה תוקן".
מאור הוסיף, כי "הקטיקס מאמינה שתשובה זו של מיקרוסופט אינה מספקת מענה אבטחתי ראוי ללקוחותיה. העובדה שההתקפה אפשרית רק עבור משתמשים קיימים אינה פותרת את האיום". הוא אמר, כי "אנחנו רואים, על בסיס יומיומי, מערכות SharePoint המוטמעות בסביבות מורכבות עם אלפי משתמשים, חלקם חיצוניים לארגון ולאו דווקא מהימנים. אכיפת מנגנוני ההרשאות וההזדהות במערכת הם קריטיים לשמירה על ביטחון המידע של ארגונים המנהלים את כל הידע שלהם במערכות זו. בנוסף, הצעותיה של מיקרוסופט להגדרות מורכבות ומסובכות לניהול, תוך ויתור על יכולות במערכת (כגון שיתוף קבצי טקסט בין משתמשים שונים בארגון) איננה ישימה עבור רבים מלקוחותיה".
מומחי הקטיקס מצאו בחודשים האחרונים מעל עשר פרצות במוצרי תוכנה של חברות מובילות, בהן אורקל (Oracle), יבמ (IBM), מיקרוסופט, ועוד. בין השאר, פרסמה החברה מספר חשיפות משמעותיות במערכת Oracle e-Business, ששילובן יכול לאפשר לתוקפים להשיג גישה מלאה למערכת ללא כל הרשאות מוקדמות. מהקטיקס נמסר, כי החברה עומדת בקשר עם החברות הללו על מנת להבטיח את תיקון הליקויים לפני חשיפתם לקהילת אבטחת המידע.
לא ניתן היה לקבל את תגובת מיקרוסופט ישראל לידיעה.
תגובות
(0)