הגליון המאה חמישים ושמונה של DigitalWhisper שוחרר!
ברוכים הבאים לדברי הפתיחה של הגליון ה-158 של DigitalWhisper!
החודש, צוות ה-Threat intelligence של מיקרוסופט פרסמו בבלוג החברה כי בתחילת החודש הם זיהו ברשת החברה פעילות האקינג של קבוצת התקיפה Midnight Blizzard (ומוכרת בין היתר גם כ-NOBELIUM, Cozy Bear או APT29) שפעלה על נכסי החברה לפחות מנובמבר 2023. קבוצת התקיפה הזו ידועה כיחידת תקיפות הסייבר של שירותי ביון החוץ של רוסיה (ה-SVR) שתקיפות עבר שלה זוהו ביעדים בסדר גודל שכזה והיא גם זו שביצעה את "תקיפת שרשרת האספקה" על המוצר SolarWinds של חברת התוכנה האמריקאית Orion ב-2020.
אחת השורות שתפסה את עיניי במהלך קריאת הפוסטים היא השורה הבאה:
“The attack was not the result of a vulnerability in Microsoft products or services”
השורה הזאת נכתבה כחלק מאוסף של עוד שורות שחברות כותבות כשהן מפרסמות שהן נתקפו (משפטים כגון "עד כה, מפרטי חקירת האירוע לא עלו עדויות לכך שנפגע מידע על לקוחות החברה", "לא נגרם נזק לסביבת ה-Production של החברה" או "לא עלו אינדיקציות לכך שסודות נגנבו") אבל אני חושב שזאת שורה ששווה מאוד להתעכב עליה.
מהפרטים שהחבר'ה של MSRC פרסמו, עולה כי אותו שחקן הצליח להשיג בסוף גישה לחשבונות אימייל של לא מעט עובדי החברה. בבלוג החברה נכתב:
"very small percentage of Microsoft corporate email accounts"
ואז מפורטים סוגי התפקידים שאליהם בוצע הגישה לתיבות המייל:
"our senior leadership team and employees in our cybersecurity, legal, and other functions"
מה שכנראה מעיד שלאותו שחקן הייתה גישה לכלל (או לפחות לרוב) תיבות המייל של עובדי החברה, אבל הוא בחר לקרוא מיילים רק מהתיבות שעניינו אותו (כי הסיכוי שהוא השיג גישה רק לקבוצת תיבות מצומצמת, אבל בדיוק לאותה קבצה שעניינה אותו, מאוד לא סביר בעיני). אגב, באופן אירוני, נכתב שמה שעניין אותו זה מידע לגבי פרטי חקירה שמיקרוסופט מבצעת... אודותיו!
עוד נכתב על השחקן, כי הוא השיג את אותה הגישה ע"י ביצוע Password Spary על Tenant ישן בסביבת הבדיקות של החברה (כזה שלא הופעל עליו MFA). ונראה שלמרות שמדובר בסביבת בדיקות ישנה, ניתן היה להשיג ממנה הרשאות למספר אפליקציות OAuth ולאחת מהן, הייתה הרשאות גבוהות על חלק מתשתיות ה-Production של החברה ובעזרת ההרשאה הזאת אותו שחקן סידר לעצמו הרשאות גבוהות מאוד על שרת ה-Office 365 Exchange של החברה.
באותו המקום גם נכתב שהשחקן הצליח להשיג גישה (או לפחות לבצע מניפולציה) על תשתיות פנימיות נוספות של החברה כדי להסתיר את כתובות ה-IP שלו כך שיראה למערכות הניטור כאילו הוא מגיע מכתובות לגיטימיות שמהן מתחברים גם עובדים נוספים, מה שהקשה על זיהוי הפעילות שלו.
זה די מטורף בעיניי. כאשר שחקן מצליח לנצל חולשה בקוד או במוצר ובזכות כך להשיג גישה לרשת הארגון קל לי יחסית להבין איך זה קרה. למרות שזה לא מומלץ, אי אפשר באמת לא לסמוך על אף אחת מהתשתיות ברשת הארגון, ואם באחת מספיק קריטית, היריב מצא חולשה - סביר להניח שלפחות לפרק זמן קצר - הוא ניצח (כמובן עד שהוא יעשה טעות בסדר גודל כזה שמערכות הניטור שהותקנו ברשת יזהו אותו, בדיוק כמו באירועי SUNBURST). וזה מטורף בעיניי כי במקרה הזה, סיפור על אוסף של פירות נמוכים כמו "עובדים שלא הגדירו סיסמאות חזקות" בצירוף של "Tanent ישן ששכחנו להחיל עליו את הקונפיגורציה העדכנית" עם "סביבת בדיקות לא מנוטרת שיש לה הרשאות חזקות על סביבת ה-Production של הארגון" הביא לכך שיריב רציני הצליח להשיג גישה לאחת מהרשתות שאמורה להיות מהמנוטרות ביותר (הם רק אחת מספקיות הענן הגדולות, בית התוכנה לתוכנות הנפוצות ביותר, יצרני חומרה מהחומרות הנפוצות ביותר ורק כותבים את מערכת ההפעלה שעליה מתבססים רוב הארגונים בעולם ובטח שכחתי עוד משהו משמעותי).
אני משוכנע שאותה שורה נכתבה במטרה להרגיע את הקורא ("אל תדאג קורא יקר הפעם לא מדובר בעוד חולשה קריטית שנמצאה בתשתיות שלנו"), אבל אישית, אם תשאלו אותי, הייתי הרבה יותר רגוע אם אכן היה מדובר בניצול של חולשה באיזה מוצר, כזאת שכשאתה קורא את ה-Writeup שלה אתה קצת אומר לעצמך: "וואלה, חולשה מגניבה, שיחקו אותה" (ואז רץ מהר לעדכן את כל השרתים בארגון), כי אז לפחות הייתי יודע שלא הייתה כאן רשלנות.
אגב, אותה קבוצה זוהתה ממש לפני מספר ימים גם ברשת של HPE, עדיין לא פורסמו פרטים טכניים על איך הם נכנסו לרשת או מה הם חיפשו שם, אבל זה בטח יהיה מעניין.
אז שיהיה לכולנו בהצלחה!
וכמובן, תודה ענקית לכל הכותבים שהתפנו מזמנם לכתוב מאמרים לגליון זה. תודה רבה לאיתן נבלב, תודה רבה ל-Tomer Snuf, תודה רבה לשלום דימנט, תודה רבה לשקד (שקדי) אילן ותודה רבה ליהונתן אלקבס!
החודש, הגליון כולל את המאמרים הבאים:
-
NTLM Authentication Manipulation - מאת איתן נבלבבמספר רב של תרחישים, RedTeamers נדרשים להתמודד עם תרחישי טינול (Tunneling), וכנראה שכחלק מכל תרחיש תקיפה על רשת ארגונית,יהיה שימוש בטינול יחיד לפחות על מנת לעקוף חסימות תקשורתיות כמו Firewall-ים ו-ACL-ים על רכיבים. במקרים שכאלה, צוות ה-RedTeam מעביר תקשורת שאינה לגיטימית מתוך עמדה לגיטימית ברשת, ומבחינת OpSec יש בכך בעייתיות, מפני שבמידה והתקשורת הינה אימות אל מול מנגנון אימות NTLM קיימים שדות אשר עלולים להסגיר את עמדתו של ה-RedTeamer. במאמר זה מציג איתן מחקר על הפרוטוקול NTLM שערך אשר מטרתו הינה להתגבר על מקרים בעייתיים אלו.
-
סיקור החולשה - CVE-2010-2568 - מאת Tomer Snufהחולשה CVE-2010-2568 היא חולשה מסוג Lateral Movement ממשפחת ה-Post Exploitation. חולשה זו היא אחת מהחולשות של הכלי Stuxnet שביצע את המתקפה על הכור הגרעיני באיראן בשנת 2010. מתקפה זו הייתה אבן דרך חשובה בעולם מחקר הסייבר, הן מצד ההגנה והן מצד ההתקפה. החלק המגניב ביותר הוא שחולשה זו (שהיא חסרת תקדים גם בימינו) ניתנת למימוש מלא, הבנה, ומציאה רק על ידי קריאה של הדוקומנטציה. במאמר זה מציג תומר את החולשה, אופן הניצול שלה ואת אופן מנגנוני הפעולה של הרכיבים אשר בהם היא הייתה קיימת.
-
בונים רשת ניורונים - מאת שלום דימנטבשנים האחרונות כולם שומעים על "בינה מלאכותית", אבל מה זה? ומה זה שונה מתכנות רגיל? במאמר זה שלום יסביר מה אומר המושג "בינה מלאכותית", מה הכוונה "לאמן" מודל ואף יפרט צעד אחר צעד כיצד בונים מודל אשר מקבל תמונה של מספר ויודע לזהות איזה מספר יש בתמונה. הבנת המאמר אינה דורשת ידע מתמטי ברמה גבוהה.
-
Windows Authorization 101 - מאת שקד אילן (shackrack)אי-פעם חשבתם מה קורה מאחורי הקלעים כאשר אנחנו מנסים למחוק קובץ ומקבלים Access Denied במערכת ההפעלה Windows? או איך אפשר להעלות הרשאות לתהליך או לגנוב זהות של משתמש אחר ולהשתמש בהרשאותיו כדי להשתלט על דומיין באמצעות גניבת טוקנים (Impersonation)? מזה אומר להיות Elevated, או שה-Integrity Level של התהליך שלנו הוא Medium? מה ההבדל בין SACL ל-DACL ולמה הם טובים? במאמר זה מסביר שקד על מנגנון ההרשאות של מערכת ההפעלה Windows ומפרט את כל מה שחשוב לדעת על מאחורי הקלעים של מנגנוני אימות וזהות ב-Windows.
-
Malware-less Persistence (Done) Right - מאת יהונתן אלקבסעם עלייתן של מתקפות הפונות לניצול לוגי של מנגנונים פנימיים ואלמנטרים בתשתיות הסביבה הדומיינית, התחדדה ההבנה כי Active Directory לא נכתב בראיית Secure by Design אלא נדחף בעל כורחו למציאת פתרונות אבטחה עבור סט איומים שרק הלך וגדל עם התבגרותו בחלוף השנים. מבט קצר על סט מפרשי הפרוטוקולים וה-APIs שהוא מרכז, בצמוד לעובדה שהוא ליטרלי חייב להיות נגיש ו-trusted מכל מכונה ברשת יתמצתו את ההסבר מדוע ההגנה על AD היא עניין לא פשוט בכלל. מתקפות כדוגמת Diamond / Golden / Silver Tickets ו-AdminSDHolder אשר הגיחו לפני פחות מעשור לאוויר העולם הכריחו את מגזר אבטחת המידע להכיר בעובדה כי טכניקות שרידות דלות אמצעים שאינן שורטות את הדיסק הן נחלת העולם החדש. במאמר זה, סוקר יהונתן מקרה פרטי למאמר "One ACE to Rule Them All", אשר שפורסם במסגרת הגליון ה-157 מוצגים הרעיונות והמימושים של מתקפות מבוססות ACL-ים בדומיין לצורך שרידות ואחיזה רשתית.
קריאה נעימה,
אפיק קסטיאל