באגים נפוצים מעמידים בסכנה את פתרונות האנטי-וירוס
מחקר של חברת סייברארק חשף חולשות רבות במוצרי אבטחה המאפשרות למשתמש רגיל להריץ קוד זדוני בהרשאות גבוהות
עמי רוחקס דומבה
| 19/10/2020
ערן שמעוני. צילום: סייברארק
פתרונות שנועדו להגן על הארגון מפני תכנות זדוניות המנצלות הרשאות פריבילגיות, עלולים ליפול קורבן למתקפות, כך מגלה מחקר של סייברארק. במהלך המחקר התגלו מספר רב של חולשות במוצרי אבטחה המאפשרות למשתמש רגיל להריץ קוד זדוני בהרשאות גבוהות.
לפי ערן שמעוני, חוקר אבטחת המידע בסייברארק, פתרונות אלה עלולים, שלא במתכוון, לסייע לתוכנות זדוניות להשיג הרשאות פריבילגיות למערכת. "המספר העצום של מכשירים העלולים להיפגע מכך הוא מטריד. למעשה, מדובר כמעט בכל מכשיר Windows שיש בו לפחות תוכנה אחת הניתנת לניצול כדי להשיג גישה פריבילגית באמצעות מתקפות המבצעות מניפולציה בקבצים", אומר שמעוני בפוסט שהתפרסם בבלוג של סייברארק.
"פתרונות נגד תוכנות זדוניות פגיעים יותר למתקפות בגלל רמת ההרשאות הגבוהה שניתנת להם מראש", כותב שמעוני. הוא מסביר שככלל, היצרנים שבדקה סייברארק, נכשלים בדיוק באותן חולשות שעליהן הם אמורים להגן. עם זאת, למרות שמספר הבאגים הוא "עצום", רבים מהם ניתנים לתיקון בקלות.
מרבית הווירוסים מעוניינים בהרצת קוד בהרשאות גבוהות, מפני שזה מאפשר להם להתחמק ממוצרי אבטחה וגם משפר את סיכויים להתפשט ברשת ארגונית\ביתית. כמו כן, פוטנציאל הנזק של וירוס פריווילגי הוא הרבה יותר גבוה, כי הוא יכול לגשת לנכסים כמו סיסמאות ופרטי משתמש שתוכנה בהרשאות נמוכות לא יכולה לגשת.
מקור עיקרי לכשלים
בסייברארק מציינים כי ספריית המחדל C:\ProgramData היא המקור לרבים מהבאגים, כמו גם הגדרה לא נכונה של הרשאות על תיקיות וקבצים. היות ותכונות האבטחה בעלות רצות בהרשאות מערכת, אזי הן מבצעות פעולות כמו כתיבה ומחיקה של קבצים בהרשאות מערכת. אולם, במידה ופעולות אלו מבוצעות על קבצים שנמצאים בתיקיה שאנו יכולים לשלוט בה אז ניתן לנווט את פעולת הכתיבה\מחיקה לקבצים אחרים בעזרת דבר הנקרא symbolic link.
משתמשים זדוניים עשויים לאתר את ההזדמנות הטובה ביותר להסלים את ההרשאות הפריבילגיות באמצעות תוכנות התקנה (installers). תוכנות אלה הן כר פעולה נוח לתוקפים משום שכאשר היצרנים מעדכנים את פנים החבילות, "הם שוכחים לעתים קרובות לעדכן את חבילת ההתקנה עצמה", לדברי שמעוני.
הוא מוסיף כי בעיקרון, רק הקוד מתעדכן כך שכל מוצר תוכנה המסתמך על מסגרות ההתקנה הינו פגיע לחטיפות DLL. במידה ומוצר האבטחה טוען ספירת קוד (DLL) ממקום לא מאובטח, עלולים תוקפים לנצל זאת על מנת להזריק קוד לתוך מוצר האבטחה. כלומר, ניתן להריץ קוד בהרשאות מערכת ואנטי-וירוסים למיניהם לא יגלו זאת כי התוקף נמצא בתהליך של האנטי-וירוס עצמו.
מה ניתן לעשות?
כדי להתגונן מפני פריצה לתוכנה המגינה מפני תכנות זדוניות באמצעות הסלמה של הרשאות, סייברארק ממליצה לארגונים לשנות את ה-DACLs לפני השימוש, לתקן התחזויות, לעדכן מסגרות התקנה, ולהשתמש ב-LoadLibraryEx במקום ב-LoadLibrary API הישן.
מחקר של חברת סייברארק חשף חולשות רבות במוצרי אבטחה המאפשרות למשתמש רגיל להריץ קוד זדוני בהרשאות גבוהות
ערן שמעוני. צילום: סייברארק
פתרונות שנועדו להגן על הארגון מפני תכנות זדוניות המנצלות הרשאות פריבילגיות, עלולים ליפול קורבן למתקפות, כך מגלה מחקר של סייברארק. במהלך המחקר התגלו מספר רב של חולשות במוצרי אבטחה המאפשרות למשתמש רגיל להריץ קוד זדוני בהרשאות גבוהות.
לפי ערן שמעוני, חוקר אבטחת המידע בסייברארק, פתרונות אלה עלולים, שלא במתכוון, לסייע לתוכנות זדוניות להשיג הרשאות פריבילגיות למערכת. "המספר העצום של מכשירים העלולים להיפגע מכך הוא מטריד. למעשה, מדובר כמעט בכל מכשיר Windows שיש בו לפחות תוכנה אחת הניתנת לניצול כדי להשיג גישה פריבילגית באמצעות מתקפות המבצעות מניפולציה בקבצים", אומר שמעוני בפוסט שהתפרסם בבלוג של סייברארק.
"פתרונות נגד תוכנות זדוניות פגיעים יותר למתקפות בגלל רמת ההרשאות הגבוהה שניתנת להם מראש", כותב שמעוני. הוא מסביר שככלל, היצרנים שבדקה סייברארק, נכשלים בדיוק באותן חולשות שעליהן הם אמורים להגן. עם זאת, למרות שמספר הבאגים הוא "עצום", רבים מהם ניתנים לתיקון בקלות.
מרבית הווירוסים מעוניינים בהרצת קוד בהרשאות גבוהות, מפני שזה מאפשר להם להתחמק ממוצרי אבטחה וגם משפר את סיכויים להתפשט ברשת ארגונית\ביתית. כמו כן, פוטנציאל הנזק של וירוס פריווילגי הוא הרבה יותר גבוה, כי הוא יכול לגשת לנכסים כמו סיסמאות ופרטי משתמש שתוכנה בהרשאות נמוכות לא יכולה לגשת.
מקור עיקרי לכשלים
בסייברארק מציינים כי ספריית המחדל C:\ProgramData היא המקור לרבים מהבאגים, כמו גם הגדרה לא נכונה של הרשאות על תיקיות וקבצים. היות ותכונות האבטחה בעלות רצות בהרשאות מערכת, אזי הן מבצעות פעולות כמו כתיבה ומחיקה של קבצים בהרשאות מערכת. אולם, במידה ופעולות אלו מבוצעות על קבצים שנמצאים בתיקיה שאנו יכולים לשלוט בה אז ניתן לנווט את פעולת הכתיבה\מחיקה לקבצים אחרים בעזרת דבר הנקרא symbolic link.
משתמשים זדוניים עשויים לאתר את ההזדמנות הטובה ביותר להסלים את ההרשאות הפריבילגיות באמצעות תוכנות התקנה (installers). תוכנות אלה הן כר פעולה נוח לתוקפים משום שכאשר היצרנים מעדכנים את פנים החבילות, "הם שוכחים לעתים קרובות לעדכן את חבילת ההתקנה עצמה", לדברי שמעוני.
הוא מוסיף כי בעיקרון, רק הקוד מתעדכן כך שכל מוצר תוכנה המסתמך על מסגרות ההתקנה הינו פגיע לחטיפות DLL. במידה ומוצר האבטחה טוען ספירת קוד (DLL) ממקום לא מאובטח, עלולים תוקפים לנצל זאת על מנת להזריק קוד לתוך מוצר האבטחה. כלומר, ניתן להריץ קוד בהרשאות מערכת ואנטי-וירוסים למיניהם לא יגלו זאת כי התוקף נמצא בתהליך של האנטי-וירוס עצמו.
מה ניתן לעשות?
כדי להתגונן מפני פריצה לתוכנה המגינה מפני תכנות זדוניות באמצעות הסלמה של הרשאות, סייברארק ממליצה לארגונים לשנות את ה-DACLs לפני השימוש, לתקן התחזויות, לעדכן מסגרות התקנה, ולהשתמש ב-LoadLibraryEx במקום ב-LoadLibrary API הישן.
