סייברארק חושפת כשל באימות משתמשים בשירות ענן של מיקרוסופט

סייברארק חושפת כשל באימות משתמשים בשירות ענן של מיקרוסופט

עומר צרפתי, חוקר במעבדות סייברארק - באדיבות סייברארק

סייברארק חושפת הבוקר (ג') פרצת אבטחה חמורה שמאפשרת לתוקפים מזדמנים לחדור לתשתית הענן של חברות וארגונים המשתמשות במיקרוסופט Azure. באמצעות הפרצה תוקף יכול להשיג גישה מנהל לשרתים ואפליקציות רגישות של משתמשי הענן של מיקרוסופט, לרבות משתמשים עסקיים ב- Azure (סביבת הענן של מיקרוסופט) ומשתמשי Microsoft Office 365. במצטבר מדובר בפוטנציאל של מאות מיליוני משתמשי קצה.

הפרצה המכונה BlackDirect מאפשרת לתוקף לגנוב זהות של משתמש ענן של מיקרוסופט מבלי שהמשתמש ירגיש בכך. התוקף מנצל למעשה כשל ביישום פרוטוקול OAuth 2.0 המשמש לאימות משתמשים בשירות הענן של מיקרוסופט. הכשל טמון ביכולת של התוקף לקבל בעלות על כתובות דומיין ברשימה סגורה המשמשת להגדרת דומיינים בטוחים. מאותו רגע, ישנה אפשרות לנצל את הטוקן (OAuth 2.0) בשתי תצורות.

אחת חשאית (ללא התערבות משתמש), כאשר התוקף מטמיע קוד באתר נפוץ (בור מים) באמצעות iframe. בצורה זו הקורבן גולש לאתר, וכאשר הדפדפן מעבד את הקוד, התוקף מקבל את הטוקן ויוצר באמצעותו משתמש מנהל בחשבון הקורבן בשירות מיקרוסופט. שיטה שניה דורשת התערבות משתמש בדמות לחיצה על קישור בהודעת דוא"ל זדונית. לחיצה תספק לתוקף את אותו מרחב פעולה לפתוח משתמש מנהל בחשבון הקורבן בשירות מיקרוסופט. בשני המקרים התוקף מקבל שליטה מוחלטת בחשבון הקורבן בשירותי מיקרוסופט.

כשמדובר במשתמשים עסקיים, התוקף עלול להשיג בדרך זו הרשאות למשתמשים "חזקים", בעיקר אנשי IT בארגון, שדרך החשבונות שלהם אפשר לבצע מגוון פעולות חמורות, החל ממחיקת כל המשתמשים בארגון, דרך הוספת משתמשי Admins שאינם קיימים, גניבת נכסי המידע הרגישים ביותר בארגון ועד להשבתה של כל סביבת הענן של אותו ארגון, ולמעשה – השבתת פעילות הארגון.

לדברי עומר צרפתי, חוקר במעבדות סייברארק: "כיום סביבות מודרניות רבות משתמשות בדרכי אימות זהות מתקדמות, ולצד היתרונות הרבים ישנם גם חסרונות, לדוגמא: החולשה שמצאנו שמאפשרת לגנוב את החשבון של המשתמש. פוטנציאל התקיפה שזיהינו גדול במיוחד כיוון שהוא מאפשר לעקוף את מנגנון האימות הדו-שלבי (MFA) בענן של מיקרוסופט, כגון: סיסמא ו-SMS, או סיסמא ודיסקונקי וכד' – כיוון שהחולשה גונבת את הישות הדיגיטלית שכבר אומתה על ידי המערכת, לאחר הסיסמא והאימות הדו-שלבי."

בעקבות פניית סייברארק, מיקרוסופט תיקנה את הפרצה.