הגליון השמונים וארבעה של Digital Whisper שוחרר!

    
ברוכים הבאים לגליון ה-84 של DigitalWhisper!
 
מי שלא חי מתחת לאדמה בשבועות האחרונים בוודאי שמע על פרסומן של החולשות במימוש של מיקרוסופט ובמימוש של הפרוייקט Samba לפרוטוקול SMB. אני מדבר כמובן על CVE-2017-0144 ועל CVE-2017-7494, אחת מהחולשות התגלתה על ידי צוות הפיתוח של סמבה, והשניה פורסמה על ידי החבר'ה של TheShadowBrokers תחת השם EternalBlue כחלק מבאנדל הכלים והחולשות שהם גנבו (לפי טענתם) מה-NSA.

החולשות עצמן מעניינות טכנולוגית, אך הן חדשות של אתמול, והן גם בכלל לא מרכז הנקודה של מה שאני מעוניין לדבר עליו.

לאחר ש-CVE-2017-0144 פורסמה, באו חבר'ה רעים נוספים (מאשימים הפעם את צפון קוריאה אם הצלחתי לעקוב נכון), וכתבו כופרה (סלחו לי...) בשם WannaCry אשר מנצלת בין היתר את החולשה הנ"ל לטובת התפשטות אוטונומית ובכך להגיע למספר רב של מחשבים. פורסמו לא מעט ארגונים שחטפו בגל הזה (ובטח קיימים עוד יותר ארגונים שחטפו ולא פורסם עליהם כלום). שירותי הרפואה הלאומיים של אנגליה נפגעו, FedEx נפגעו, חברות הרכבת הלאומית של גרמניה ושל רוסיה נפגעו, שתיים מבין חברות התקשורת הגדולות בספרד וברוסיה, חברת רנו, הבנק המרכזי הרוסי, והרשימה עוד גדולהלפי ה-New York Times כמעט חצי מליון מחשבים נדבקו בכ-150 מדינות שונות.

וכאן באה הנקודה שעליה רציתי לדבר. החולשה היא חולשה במימוש של SMB, לא בתוכנת Client של דואר אלקטרוני, לא ב-Viewer של קבצי מסמכים ולא חולשה באחד מהדפדפנים הנפוצים היום בשוק, אלא במימוש של הפרוטוקול SMB. ולכן זה אומר שלאותם ארגונים שחטפו את המכה היה שירות SMB חשוף לאינטרנט.

כאן (שלא במקרי כופרה אחרים), אי אפשר להאשים את העובד התמים שלא ידע, העובד הסקרן שלחץ על הקישור או העובד הטיפש שפתח קובץ שהגיע במייל ממקור שאינו מזוהה. כאן אפשר להאשים אך ורק את איש ה-IT שבחר לחשוף שרת SMB לאינטרנט. ואגב אפילו לא היה מדובר ב-0day! התולעת חומשה בחולשה הנ"ל אחרי שמיקרוסופט שחררו את MS17-010. אז אותם אנשי IT הם גם אלו שבחרו לא לעדכן את אותן המערכות.

לשמוע דברים כאלה זה מרגיז - לא מדובר בארגונים כמו "משה בלונים", אלא מדובר בארגונים רציניים שאנשי אבטחת המידע שלהם אמורים להתחלחל רק מהמחשבה על העניין.

יש אילוצים שבגינם הארגון מחייב אתכם למצוא פתרונות יצירתיים? מעולה, אתגרים זה טוב. אבל המקרה הזה זה כבר משהו אחר. במקרים כאלה, בתור אנשי IT / אבטחת מידע, אתם אמורים לעמוד על שתי הרגליים האחוריות שלכם ולחשוף שיניים. אף אחד חוץ מכם לא יודע באמת כמה זה מסוכן. ולא משנה מה, גם לא כפתרון זמני או נקודתי - פשוט לא עושים דברים כאלה.

תמיד צאו מנקודת הנחה שלאויב שלכם יש כמה 0day בשרוול. ושיש לו יותר משרוול אחד. אתם ממש חייבים לייצא ממשק SSH כלפי חוץ? שלכל הפחות יהיה מדובר בהזדהות מבוססת מפתחות, עם רשימת מורשים לבנה ושימו את הכל מאחורי VPN, כי אין שום סיבה שתהיה לו כתובת IP חיצונית. ואחרי כל זה - שלא יהיה שום סיכוי שמהשרת הזה ניתן יהיה להגיע באופן ישיר לרשת הפנים-ארגונית שלכם. זה שעד היום לא פורסמה חולשה באותו שירות לא אומר שהיא לא קיימת.

אנחנו חיים במציאות אשר מראה לנו שדברים כאלה עשויים להתרחש כל הזמן. צאו מנקודת הנחה מחמירה כמה שהתקציב שלכם מאפשר. ונסו להתמודד עם ההשלכות שנובעות מכך על הרשת שלכם כמה שרק ניתן. זה נכון שהצד המגן תמיד יהיה כמה צעדים אחורה, אבל זה לא אומר שהוא תמיד חייב לחטוף.
 
ומכאן - אל התודות. תודה רבה לכל מי שישב החודש והשקיע ממרצו ומזמנו והגיש לנו מאמרים. תודה רבה לאריאל קורן, תודה רבה לזהר ברק, תודה רבה לאור צ'צ'יק, תודה רבה לרועי שרמן, תודה רבה לאסף ויצמן ותודה רבה לדניאל לוי!

 
החודש, הגליון כולל את המאמרים הבאים:
  • פתרון Fusion שלב 05 - נכתב ע"י אריאל קורן:
    במאמר זה מציג אריאל את הפתרון שלו לאתגר החמישי של מכונת Fusion מהאתר Exploit-Exercises. המאמר כולל את איתור החולשה, ניתוחה, כתיבת קוד לניצול תוך כדי שימוש בטכניקת Heap Sparying ועוד.

  • הפוגען שתקף אותי - נכתב ע"י זהר ברק:
    במאמר זה מציג זהר ניתוח שביצע לוירוס אשר זיהה שרץ במחשבו האישי. במאמר מוצגים השלבים משלב הזיהוי ועד שלבי הסרת הוירוס באופן מלא.

  • Harddisk and all that is hidden  - נכתב ע"י אור צ'צ'יק:
    מאמר זה מציג מחקר אשר ביצע אור על האיזורים החבויים בדיסק הקשיח ואיך פוגענים משתמשים באותם מקומות בשביל להתחמק ממערכות ההגנה. מאיזורים התלויים במערכת קבצים ספציפית ועד כתיבה מחדש של ה-Firmware הפנימי של הדיסק הקשיח.

  • צוות אדום ותפקידו במבדקי חדירות - נכתב ע"י רועי שרמן:
    במאמר זה מציג רועי את המושג "צוות אדום", מה הוא צוות אדום, איך מתבצע פרוייקט עם צוות אדום, מה התועלת שלו לעומת בדיקות אבטחה רגילות ולמה יותר ויותר ארגונים בוחרים לבצע בדיקות מסוג זה.

  • קוברנטיס - ניהול קונטיינרים מבוזר - נכתב ע"י אסף ויצמן:
    במאמר זה מסביר אסף על טכנולוגית Docker להרצת תוכנות ושירותים בתוך קונטיינרים, וכיצד Kubernetes עושה בה שימוש לטובת ניהול מספר קונטיינרים ופריסתם על פני מספר שרתים. בנוסף אסף מדגים חולשה שהתגלתה במנגנון זה תוך כדי הקמת מעבדה בייתית.

  • Credentials Harvesting via Chrome - נכתב ע"י דניאל לוי:
    במאמר זה מציג דניאל מחקר אשר ביצע על הגרסא האחרונה של הדפדפן Chrome וכיצד על ידי ביצוע מניפולציה ברשת המקומית ניתן "לגנוב" ממנו פרטי הזדהות כאשר הוא מבצע שימוש בפרוטוקול LLMNR לטובת איתור משאבי רשת מקומיים. כל זאת ללא אינטרציה עם המשתמש הנתקף.
 
 
                                                         קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל. 


תגובות על 'הגליון השמונים וארבעה של Digital Whisper שוחרר!':



#1 

תחזור כבר (אורח):
ראשון :)
30.06.2017 22:25:22

#2 

alandude (אורח):
קרוא כל הזמן את המאמריםשלכם
שני!

Roy kuper
30.06.2017 22:38:25

#3 

דור (אורח):
תודה רבה! גליון מעולה! כל הכתבות מצוינות!! אהבתי בייחוד את הכתבה על ההארדיסקים!
01.07.2017 00:56:05

#4 

int0x2D (אורח):
תודה על עוד גיליון משובח.
05.07.2017 15:02:43

#5 

שמיל (אורח):
84! זה אומר 7 שנים של גליונות! כל הכבוד!
05.07.2017 22:31:27

#6 

MrX (אורח):
תותחים! תודה רבה!
08.07.2017 10:32:08

#7 

GG (אורח):
המון תודה אנשים יקרים!
10.07.2017 13:58:18

#8 

אחד שיודע (אורח):
חרא מאמר מי זה בכלל האור צציק הזה יש לו שם של כו ס
20.08.2017 10:25:32



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.