חוקרי סייבר ישראלים חשפו פרצה במנגנון של מיקרוסופט
חוקרים מחברת גארדיקור גילו שהפריצה מובילה לדליפת שמות משתמש וסיסמאות משתמשים. המידע יכול לשמש תוקפים להתפשטות בתוך הארגון, ובמקרים מסוימים אף לבצע את הפריצתה הראשונית לתוכו
ישראל דיפנס
| 26/09/2021
עמית סרפר, גארדיקור. צילום: Jen Rosenthal
חוקרי סייבר ישראלים גילו פרצה במנגנון של מיקרוסופט, שמטרתו לאפשר גישה של משתמשים למוצרי מיקרוסופט כמו שירות הדוא"ל Outlook. עמית סרפר מחברת הסייבר גארדיקור הוביל את המחקר בנוגע לפריצה, ממנה מושפעים מספר רב של אנשים ועסקים המשתמשים במוצרי מיקרוסופט ברחבי העולם. הפרצה גורמת לדליפת שמות משתמש וסיסמאות של המשתמשים. המידע שדלף יכול לשמש תוקפים כדי להתפשט בתוך הארגון במהלך התקפת סייבר, ובמקרים מסוימים אף לבצע את הפריצה הראשונית לתוך הארגון.
מדובר בבעיה שמקורה בדרך בה תוכנן המנגנון על ידי מיקרוסופט, ששולח את השמות והסיסמאות לדומיינים באופן אוטומטי. צוות החוקרים של Guardicore Labs שאיתר את הפרצה, רכש מספר דומיינים אליהם נשלח המידע. זמן קצר לאחר מכן החלו להגיע לדומיינים שמות משתמש וסיסמאות. בין התאריכים 16 באפריל עד ה-25 באוגוסט הגיעו לחוקרים מעל ל-372 אלף שמות משתמש וסיסמאות, מתוכם סיסמאות שדלפו מאפליקציות שונות כמו Microsoft Outlook. תקרית זו מראה שסיסמאות יכולות לדלוף מחוץ לארגון על ידי שירות לגיטימי, שנועד במקור לייעל את פעולות הארגון, מבלי שאף אחד ממחלקות ה-IT או אבטחת מידע יהיה מודע לכך.
חוקרי הסייבר שחשפו את הפרצה הם בעלי עבר עשיר של הישגים בינלאומיים בתחום אבטחת המידע. עמית סרפר שימש בעברו כחוקר סייבר במשרד ראש הממשלה, וזכה לחשיפה עולמית לאחר שהיה החוקר הראשון לפתח חיסון כנגד תוכנת הכופרה NotPetya אשר תקפה מאות ארגונים ברחבי העולם וגרמה לנזקים המוערכים ביותר ממיליארד דולרים. בנוסף גילה חיסון כנגד מתקפת הכופרה Bad Rabbit שפגעה בחברות תשתית, תחבורה ושדות תעופה ברוסיה, אוקראינה ומדינות נוספות. סרפר חשף גם מחקר שהיה ממוביליו, של תקיפה מתוחכמת על ספקיות סלולר בעולם שנמשכה מספר שנים בלי שהתגלתה ואשר חשפה מידע על מיליוני מינויים במטרה לעקוב באופן ספציפי אחרי אנשים בתפקידים רגישים.
חברת הסייבר Guardicore הוקמה על ידי דרור סלעי, פבל גורביץ' ואריאל צייטלין, ומפתחת תוכנת הגנה כוללת למערכות ארגוניות בענן ובשרתים הפנימיים עבור חברות בתחומי הפיננסיים, המסחר האלקטרוני והטכנולוגיה ובארגוני חינוך. החברה מעסיקה 350 עובדים במרכזי פיתוח, מכירות ותמיכת לקוחות בישראל, ארה"ב, קנדה, ברזיל, הודו, מקסיקו, מערב אירופה ואוקראינה.
דובר מטעם מיקרוסופט מסר כי החברה ״בודקת את התרחיש ששיתף איתנו עורך המחקר״.
חוקרים מחברת גארדיקור גילו שהפריצה מובילה לדליפת שמות משתמש וסיסמאות משתמשים. המידע יכול לשמש תוקפים להתפשטות בתוך הארגון, ובמקרים מסוימים אף לבצע את הפריצתה הראשונית לתוכו
עמית סרפר, גארדיקור. צילום: Jen Rosenthal
חוקרי סייבר ישראלים גילו פרצה במנגנון של מיקרוסופט, שמטרתו לאפשר גישה של משתמשים למוצרי מיקרוסופט כמו שירות הדוא"ל Outlook. עמית סרפר מחברת הסייבר גארדיקור הוביל את המחקר בנוגע לפריצה, ממנה מושפעים מספר רב של אנשים ועסקים המשתמשים במוצרי מיקרוסופט ברחבי העולם. הפרצה גורמת לדליפת שמות משתמש וסיסמאות של המשתמשים. המידע שדלף יכול לשמש תוקפים כדי להתפשט בתוך הארגון במהלך התקפת סייבר, ובמקרים מסוימים אף לבצע את הפריצה הראשונית לתוך הארגון.
מדובר בבעיה שמקורה בדרך בה תוכנן המנגנון על ידי מיקרוסופט, ששולח את השמות והסיסמאות לדומיינים באופן אוטומטי. צוות החוקרים של Guardicore Labs שאיתר את הפרצה, רכש מספר דומיינים אליהם נשלח המידע. זמן קצר לאחר מכן החלו להגיע לדומיינים שמות משתמש וסיסמאות. בין התאריכים 16 באפריל עד ה-25 באוגוסט הגיעו לחוקרים מעל ל-372 אלף שמות משתמש וסיסמאות, מתוכם סיסמאות שדלפו מאפליקציות שונות כמו Microsoft Outlook. תקרית זו מראה שסיסמאות יכולות לדלוף מחוץ לארגון על ידי שירות לגיטימי, שנועד במקור לייעל את פעולות הארגון, מבלי שאף אחד ממחלקות ה-IT או אבטחת מידע יהיה מודע לכך.
חוקרי הסייבר שחשפו את הפרצה הם בעלי עבר עשיר של הישגים בינלאומיים בתחום אבטחת המידע. עמית סרפר שימש בעברו כחוקר סייבר במשרד ראש הממשלה, וזכה לחשיפה עולמית לאחר שהיה החוקר הראשון לפתח חיסון כנגד תוכנת הכופרה NotPetya אשר תקפה מאות ארגונים ברחבי העולם וגרמה לנזקים המוערכים ביותר ממיליארד דולרים. בנוסף גילה חיסון כנגד מתקפת הכופרה Bad Rabbit שפגעה בחברות תשתית, תחבורה ושדות תעופה ברוסיה, אוקראינה ומדינות נוספות. סרפר חשף גם מחקר שהיה ממוביליו, של תקיפה מתוחכמת על ספקיות סלולר בעולם שנמשכה מספר שנים בלי שהתגלתה ואשר חשפה מידע על מיליוני מינויים במטרה לעקוב באופן ספציפי אחרי אנשים בתפקידים רגישים.
חברת הסייבר Guardicore הוקמה על ידי דרור סלעי, פבל גורביץ' ואריאל צייטלין, ומפתחת תוכנת הגנה כוללת למערכות ארגוניות בענן ובשרתים הפנימיים עבור חברות בתחומי הפיננסיים, המסחר האלקטרוני והטכנולוגיה ובארגוני חינוך. החברה מעסיקה 350 עובדים במרכזי פיתוח, מכירות ותמיכת לקוחות בישראל, ארה"ב, קנדה, ברזיל, הודו, מקסיקו, מערב אירופה ואוקראינה.
דובר מטעם מיקרוסופט מסר כי החברה ״בודקת את התרחיש ששיתף איתנו עורך המחקר״.
