חולשה מאפשרת תקיפת מחשב באמצעות התקן נתיק וירטואלי

חוקרי SentinelOne מזהים חולשה בהתקני Remote Desktop של חברת FabulaTech. לפי החוקרים, התוכנה מאפשרת יצירת התקן נתיק וירטואלי לתקיפת המחשב 
 

חוקר החברה, מיכאל מינגרבייב גילה חולשה לא ידועה (CVE-2020-9332) בהתקנים של חברת FavulaTech. החולשה מאפשרת לתוקפים גישה מרחוק למחשב המקומי על ידי "התחזות" להתקן USB (שאינו קיים במציאות). המוצר של חברת FabulaTech מאפשר גישה מרחוק (Remote Desktop) והוא מותקן אצל ארגונים וחברות רבים, כגון גוגל, מיקרוסופט, BMW\ רייטאון, אוניברסיטת הרווארד ועוד.

תוכנת FabulaTech מספקת מגוון רחב של מוצרים, ומאפשרת לארגונים לחבר התקנים לנקודות קצה מרחוק באמצעות יישום ייעודי. FabulaTech תומכת בפרוטוקולי RDP, Teradici PCoIP או Citrix ICA ומיקרוסופט. כאשר היא מותקנת, התוכנה מאפשרת לתוקפים להשתלט על המכשיר באמצעות הוספת מקלדת וירטואלית או התקנים אחרים.

הפגיעות מייצגת וקטור התקפה חדש המאפשר לתוקפים ליצור התקני USB מזויפים המאושרים באופן מלא על ידי מערכת ההפעלה Windows, ולתקוף את המחשב בדרכים לא שגרתיות ובלתי צפויות. חוקרי SentinelOne זיהו התנהגות מוזרה של חלק ממחשבי לקוחות החברה שהריצו את התוכנה של FavulaTech. 

החקירה שערכו גילתה את החולשה שמנצלת את האופן בו פתרונות ניתוב מחדש של התקני USB‌ מאפשרים למכשירי USB‌ ברחבי הרשת להופיע כאילו היו מחוברים למחשב המקומי באמצעות תוכנה בצד הלקוח / השרת. מידע אודות המכשיר המנותב שנאסף על ידי התוכנה בצד הלקוח נשלח לשרת הפועל במחשב המרוחק. השרת יוצר ומורה לאובייקט וירטואלי לחזור על כל תקשורת הקלט-פלט מהמכשיר האמיתי. בדרך זו, מערכת ההפעלה המרוחקת "מאמינה" שמכשיר USB‌ אמיתי מחובר למחשב המקומי.  

חוקרי SentinelOne מצאו כי המוצר של FabulaTech מאפשר לרשום התקנים נוספים, גם כאלו שלא מחוברים פיזית למכשיר. הדבר מאפשר למשתמש שאינו מורשה להוסיף ולשלוט במכשירי תוכנה שמאושרים על ידי מערכת ההפעלה. בנוסף, התוכנה הריצה Service שמאפשר לתוקף הרשאות למחשב המקומי. חוקרי החברה ביצעו הוכחת יכולת (POC) ושלחו את התוצאות לחברת FabulaTech, שבמהלכה הוכיחו כי ניתן להתחבר עם עכבר אלחוטי (מדומה) ועל ידי כך לעקוף את מנגנוני האבטחה המובנים של מיקרוסופט. 

חוקרי SentinelOne פנו לחברת FabulaTech מספר פעמים וניסו לדווח על החולשה. הם גם כתבו לחברה בפורום התמיכה באתר, אך ללא תגובה. לבסוף החברה קיבלה את הדיווח והודיעה שתוציא עדכון תוכנה בקרוב.