הגליון המאה וארבעה עשר של DigitalWhisper שוחרר!

ברוכים הבאים לגליון ה-114 של DigitalWhisper, הגליון הפותח את שנת 2020!
 
שנת 2019 הייתה שנה לא שקטה, ובמהלכה צצו כל מיני אירועים שאם נלמד מהם - כנראה שנגיע לשנת 2020 קצת יותר מוכנים. קצרה היריעה מלהכיל ולו אחוז בודד מהם, אך בחרתי מספר אירועים בולטים שמספיק ונלמד רק מהם - וכבר שנת 2020 תהיה מעט יותר בטוחה. השתדלתי לבחור אירועים ממספר ענפים שונים על מנת שהלקח יהיה כמה שיותר מגוון :)

פורסמו חולשת BlueKeep ו-DejaBlue ב-RDP
איפשהו באזור מאי השנה, התחילו להסתובב שמועות באינטרנט על כך שחברת Microsoft הולכת להוציא תיקון על חולשה במנגנון ה-RDP. חולשה אשר תקפה לכלל מערכות ההפעלה של החברה, ושהאקרים יכולים לנצל אותה על מנת לחדור לארגונים, באמצעות תקיפת שרתים המריציםTerminal Service ונגישים מהאינטרנט. לאחר שכל הרעש שכך,  ולאחר שהטלאי אכן יצא, הובן כי החולשה, אשר כונתה BlueKeep, תקפה אך ורק למערכות החברה עד Windows 2008R2 ועבר עוד לא מעט זמן עד שפורסם PoC אמיתי שהוכח כעובד. ממש לא מעט לאחר מכן, פורסמה השמשה נוספת לחולשה בשם DejaBlue - כזאת המאפשרת בפוטנציאל, הרצת קוד גם על מערכות הפעלה חדשות יותר שמריצות Terminal Server. היו אף מספר ניסיונות של ארגוני פשיעה אלקטרונים לרתום את החולשה לטובתם ולחמש אותה בתולעת לכריית מטבעות דיגיטליים, אך הניסיון כשל מהר מאוד.

אז מה ניתן ללמוד מהאירוע?
א. חדי קרן קיימים. לעולם אל תניחו שבגלל שמדובר בשירות וותיק ואמין - אין בו חולשות.
ב. אל תשאירו שרתים עם ממשקי ניהול פתוחים לאינטרנט. נדרשתם לעשות זאת? תסרבו. נדרשתם בכל זאת? תקשו כמה שיותר על התוקף: שנו פורטים דיפולטיביים, תשתמשו בכמה שיותר דרכי אימות (החולשה הנ"ל לא הייתה תוקפת שרתים שעשו שימוש ב-NLA לדוגמא), תשתמשו ב-Port Knocking, חיבורי VPN וכל מה שאתם יכולים על מנת לא להיות חלק מהסטטיסטיקה.
 

חברת DockerHub נפרצה
בחודש באפריל חברת DockerHub פרסמה הודעה ללקוחות כי "זוהתה גישה לא מורשית לאחד ממאגרי החברה אשר כלל כ-190,000 חשבונות". מאז ועד היום כמעט ולא פורסם עוד מידע טכני בנושא, ומעבר לכך שנגנבו מפתחות ו-Token-ים של אותן חשבונות, אנחנו לא יודעים הרבה. חברת DockerHub פרסמה הודעה על כך שהיא ממליצה לכולם לגלגל את המפתחות, לבטל את כל ה-Token-ים ופחות או יותר, בכך הסתיימה הפרשה. אך לפי איך שלימדו אותי: אין עשן בלי אש, ואם מישהו הצליח לגשת ל-DB אחד פעם אחת, הוא ככל הנראה עשה זאת בעבר ויוכל לעשות זאת גם בעתיד. ולעוד מאגרים. אבל זה לא הנושא אפילו.

מה ניתן ללמוד מהאירוע?
החברה שלכם מתבססת על משאב חיצוני? באופן קבוע? אין לכם שליטה עליו? אחלה, לא משנה אם זה קוד, תשתית, כח עיבוד, שטח אחסון, רק-ביט-אחד-שלא-באמת-משפיע-על-המוצר - זה מקור לצרות. תאפיינו טוב טוב את השימוש בו ותריצו עליו אלף בדיקות. תחתמו אותו. תוודאו כל מה שאפשר לוודא ועל תסמכו על שום דבר לפני שבדקתם אותו טוב טוב.
 
 
מיליארדי רשומות עם מידע פרטי נחשפו 
באמצע אוקטובר, שני חוקרי האבטחה Vinny Troia ו-Bob Diachenko פרסמו כי הם זיהו שרת Elasticsearch החשוף לאינטרנט המכיל כ-4 מיליארד רשומות, ומתוכן מעל 600 מיליון כתובות אימייל שונות אשר נחשפו בצמוד לחשבונות LinkedIn, מספרי טלפונים, וחשבונות Facebook.
האירוע הזה הצטרף לשלל אירועי חשיפת מידע פרטי שפקדו אותנו השנה, ומקצתם: אירוע דליפת המידע מ-Facebook, שבו דלפו מעל ל-540 מיליון פרטי חשבונות, ועשרות מיליוני פרטי חשבונות Instagram, מקרה דליפת המידע מ-Capital One, עם מעל ל-100 מיליון פרטי אשראי פרטיים, אירועי MoviePass עם מעל ל-160 מיליון פרטי לקוחות של החברה, 170 מיליון רשומות מ-Zynga, ולעוד אלפי אירועים שפורסמו השנה (ולכנראה עוד מאות אלפי אירועים שלא פורסמו).
 
אז מה ניתן ללמוד מהאירוע?
א. מידע. דיגיטלי. פרטי. פשוט. לא. קיים. אין חיה כזאת. נאדא. שכחו מזה. אם זה נשמר באופן דיגיטלי, מישהו יכול להניח על זה את היד. ולא משנה מאחורי כמה Firewall-ים או מתחת לכמה קומות המדיה הזאת שמורה. אם מישהו אומר לכם ש-"זה לא פריץ" - תפסיקו לדבר איתו בו במקום, ותמחקו אותו מאנשי הקשר שלכם. זה בן אדם שיגרום לכם רק כאב ראש.
ב. מידעדיגיטליפרטיפשוטלאקיים.
ג. מידעדיגיטליפרטיפשוטלאקיים.
ד. צריך עוד פעם?

 
חולשות Pre-Auth התגלתה ברכיבי SSL-VPN
בכנס BlackHat שהתקיים באוגוסט השנה בלאס-וגאס, שני חוקרי אבטחה בשם Orange Tsai ו-Meh Chang, פרסמו הרצאה בשם "Infiltrating Corporate Intranet Like NSA" ובה הם פרסמו תוצרי מחקר שביצעו על מספר רכיבי SSL-VPN מהנפוצים הקיימים היום. בכנס, החוקרים היגו כי היו בידיהם חולשות Pre-Authentication על מוצרי SSL-VPN של חברות כגון PaloAlto, Fortinet ו-Pulse אשר אפשרו להם להריץ קוד על אותם הרכיבים או להתחבר באמצעותן לרשתות שנמצאו מאחוריהם. רשתות של חברות ענק כגון Twitter, Facebook, Marvel ועוד מעל לחצי מיליון רשתות נוספות היו חשופות בידי כל גורם אשר הכיר את החולשות הנ"ל.

אז מה ניתן ללמוד מהאירוע?
אל תסמכו על שום חומה. אף פעם אל תניחו שבגלל שלממשק מסויים נדרשת סיסמה - רק מי שמורשה ייכנס. האקרים לא משתמשים בסיסמאות. וגם אם הרשת שלכם מעודכנת תמיד - זה לא משנה (זה חשוב, אבל זה כנראה לא יעצור את  מי שבאמת רוצה להכנס). תמיד תניחו האקר כבר נמצא בתוך הרשת ותרכיבו את חומות ההגנה שלכם ואת אסטרגיית האבטחה שלכם באופן שמתמודד גם עם איום מבפנים. 
 
 
רשת של תחנת-כוח גרעינית חוברה לאינטרנט. בכוונה.
איפשהו ביולי השנה, מספר עובדי תחנת-כוח גרעינית של יוז'נוקראינסק, אוקראינה, חיברו את רשת המחשבים של המתחם לרשת האינטרנט. האירוע  נחקר על-ידי ה-SBU (השירות החשאי האוקראיני) וגילה כי הסיבה לכך הייתה שאותם עובדים רצו לנצל את משאבי הרשת לטובת כריית מטבעות קריפטוגרפיים. באותם פרסומים גם נכתב שזה לא המקרה הראשון, וב-2018 זוהו מקרים זהים ברוסיה, וברומניה. וגם שם - לטובת כריית מטבעות קריפטוגרפיים.

אז מה ניתן ללמוד מהאירוע?
אל תסמכו על המשתמשים ברשת. אל תסמכו על נהלי עבודה, אל תסמכו על הרציונל של עובדי הארגון, אל תסמכו על עצמכם. עובדי הארגון רוצים לעבוד (או לכרות מטבעות קריפטוגרפיים), והם כמעט ולא מודעים לסכנות שבהפרת נהלי אבטחת-מידע. אם אתם רוצים לאכוף נוהל - תדאגו שחוקי הפיזיקה יאכפו אותו.


יש עוד אינספור סיפורים, ומכל אחד ואחד מהם ניתן ללמוד הרבה מאוד תובנות ולקחים שישפרו את אבטחת הארגון בו אתם עובדים (או הרשת הביתית שלכם :)). תעבדו נכון, תיישמו לקחים מאירועים של אחרים, ותמיד תשאפו להיות הצד הלומד מאשר בצד שלומדים ממנו.

 
שתהיה לכולנו שנה בטוחה!

 
במהלך כתיבת דברי הפתיחה עברתי על עשרות "סיקורי סוף שנה" מאתרים שונים, ומצאתי שהאיכותי והמקיף ביותר היה של zdnet, אם אתם רוצים Recap על 2019, אני ממליץ לכם בחום לעבור עליו, הם עשו שם עבודה טובה מאוד!
 
 

וכמובן, לפני שניגש למאמרים, נרצה להגיד תודה לכל מי שהשקיע מזמנו, טרח ורקח לנו מאמרים, על מנת שנוכל להתחיל את 2020 ברגיל ימין :), אז... תודה רבה ליובל אברהמי, תודה רבה לאורי חדד, תודה רבה לדניאל ניב, תודה רבה לדני אודלר, תודה רבה לעמית אברהמוב, תודה רבה לניר הראל, תודה רבה לנדב טשר, תודה רבה לעומר כץ, תודה רבה להדר מנור ותודה רבה לירין אלפסי!

 
  
החודש, הגליון כולל את המאמרים הבאים:
  • Copy with Caution - Breaking Out of Docker with CVE-2019-14271 - נכתב ע"י יובל אברהמי
    קונטיינרים, פרצו לשוק הענן בשנים האחרונות כתחליף למכונות וירטואליות. מנועי קונטיינרים משתמשים במנגנוני בידוד במערכת ההפעלה על-מנת לבודד קבוצת תהליכים ולדמות להם כאילו היו היחידים על המכונה. השנה נמצאו מספר חולשות במנגנוני העתקת קבצים בפלטפורמות קונטיינרים פופולריות כמו Docker ,Podman ו-Kubernetes. החמורה מביניהן, CVE-2019-14271, נמצאה רק לאחרונה ב-Docker. במאמר זה יובל יסקור חולשה זו ואת הדרך לנצלה, ובתקווה דרכה תוכלו להבין את סוג ההפרדה שניתנת ע״י קונטיינרים ולקבל מושג של אילו חולשות עלולות להימצא במנועי קונטיינרים.  

  • ניתוחים כירורגיים להסרת ראיות מ-Windows Event Viewer - נכתב ע"י אורי חדד
    המאמר הבא יעסוק בהסתרת הלוגים ממנגנון ה-Event Log של Windows. במסגרתו אורי יציג מעט רקע על ה-Event Viewer, את המבנה של קבצי ה-Evtx, ובסוף יוצגו שתי שיטות אשר באמצעותן ניתן להסתיר לוגים מה-Event Viewer. טכניקות אלו יכולות לשמש תוקף בעת ניסיון לטשטש את פעילותו על המערכת ויעזרו לו להיפטר מהתיעוד הבעייתי.

  • Syscall Hijacking Using LKM - נכתב ע"י דניאל ניב
    במאמר זה יציג דניאל את ממשק ה-system calls (או בקיצור: syscall) בלינוקס וכיצד הוא ממומש מאחורי הקלעים. מעבר לכך, יוצג הקונספט של syscall hijacking, ואף יוסבר צעד אח צעד כיצד ניתן לכתוב rootkit  המבוסס על kernel module המתבסס על קונספט זה על מנת להמסתיר תהליך לבחירתנו מהפקודות ps ו-ls.

  • Hyper-V Architecture for Security Researcher - נכתב ע"י דני אודלר
    בבסיס הנושא בו יעסוק מאמר זה נמצאת הסוגיה איך להריץ שתי מערכות הפעלה נפרדות ומבודדות לחלוטין על מחשב ספציפי. כדי להתמודד עם סוגיה זו משתמשים בשכבת תוכנה, Hypervisor, אשר משמשת סוג של מערכת הפעלה רזה מאד עבור המחיצות שנמצאות על המחשב. במאמר זה נתמקד ב-Hypervisor של מיקרוסופט (Hyper-V) אשר נמצא כתשתית בכל גרסאות Windows האחרונות. Hypervisor זה הינו ייחודי בכך שהוא חלק בלתי נפרד מתהליך עליית מערכת ההפעלה ואף נטען לפני הקרנל לעומת מימושים אחרים בהם ה-Hypervisor הוא רכיב שרץ כולו בקרנל. במאמר זה יציג דני את הארכיטקטורה של מנגנון זה, את משטח התקיפה שלו וכן ניתוח של חולשה אשר נמצאה ברכיב זה בעבר.

  • פתרון אתגרי ה-KAF CTF 2019 - נכתב ע"י עמית אברהמוב, ניר הראל, נדב טשר, עומר כץ, הדר מנור וירין אלפסי
    בין ה-20 וה-25 לדצמבר התקיים ה-CTF של הקבוצה KipodAfterFree. ה-CTF כלל אתגרים בנושאים כגון Web, Crypto, Pwn, Reverse Engineering ו-Misc. במסמך זה, חברי הקבוצה KipodAfterFree יציגו את האתגרים שלדעתם היו המעניינים והמלמדים ביותר ויסבירו כיצד ניתן היה לפתור אותם, ומה מסתתר מאחורי כל אתגר.
                                                         קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל   


תגובות על 'הגליון המאה וארבעה עשר של DigitalWhisper שוחרר!':



#1 

as (אורח):
ניתוחים חירוגים או ניתוחים כירוגים?
01.01.2020 11:12:33

#2 

פקמן:
תודה
01.01.2020 14:13:46

#3 

cp77fk4r:
@as - תודה, תוקן :)
01.01.2020 20:58:06

#4 

random (אורח):
שלום, קראתי את המאמר של יובל אהרמי ותהיתי- האקספלויט לא ידרוש root על הcontainer? אם כן, כנראה שההתקפה לא תתרחש גם אם תוקף משיג משתמש על המכונה, או שהיא יותר נפוצה משאני מדמיין?
05.01.2020 11:11:26

#5 

uv:
האקספלויט אכן ידרוש root על הקונטיינר, או לחלופין, לגרום למשתמש להריץ תמונה של התוקף המכילה את הספרייה הזדונית.

משתמשי דוקר יכולים להחליט האם להריץ את התהליכים בקונטיינר כ-root או כמשתמש רגיל, לצערי הדיפולט הוא root.
05.01.2020 14:14:27

#6 

uv (אורח):

05.01.2020 21:06:31

#7 

שמיל (אורח):
גליון איכות! נהנתי לקרוא את כל המאמרים! תודה רבה כבר בפעם ה114!
06.01.2020 09:05:52

#8 

שמואל (אורח):
סתם הערה. במאמר על האיסקייפ מקונטיינרים של דוקר נכתב שבעתיד, כשיהיה ניתן לקרוא ל-syscall החדש openat2, קונטיינרים לא יצטרכו יותר להשתמש ב-chroot בשביל symlink-ים. לדעתי זה לא נכון, כי כל מה שרץ בתוך קונטיינר לא קורא בתור ברירת מחדל ל-openat2, וגם בעתיד זה לא יהיה ככה.
חוץ מזה ממש נהנתי המאמר! כל הכבוד על ההשקעה!! ;)
06.01.2020 21:02:04

#9 

שמואל (אורח):
אם הכוונה הייתה לגישה חיצונית, כמו docker cp, אני לוקח את מה שאמרתי..
06.01.2020 21:08:39



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2019 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.