אותרה פרצת אבטחה בתוכנת צ'ק פוינט, שאיפשרה להאקרים להרחיב מתקפות

נחשף ליקוי אבטחה במוצר של צ'ק פוינט; חוקרי חברת האבטחה Safebreach גילו שבאג בקוד של תוכנת Endpoint Security Initial Client מאפשר להאקרים בעלי גישה למערכות להרחיב משמעותית את ההרשאות שלהם, באופן שיאפשר מתקפה יציבה ומתמשכת, ויצמצם אפשרות של גילוי בידי כלי אבטחה אחרים.

החברה גילתה ליקוי דומה גם בתוכנת ניהול סיסמאות שפיתחה חברת טרנד מיקרו ובתוכנת Antivirus Free 2020 של חברת Bitdefender. סייפבריץ' חוקרת בשלב זה את הימצאות הליקוי בתוכנות אבטחה נוספות, כדי לוודא שלא מדובר בבאג נרחב אף יותר.

פירצה קוראת להאקר. אילוסטרציה | צילום: Security magazine

לא מדובר בליקוי שמאפשר פריצה בפני עצמו, וניתן לנצל אותו רק במקרים בהם כבר השיג ההאקר דריסת רגל ברשת המותקפת. הרחבת ההרשאות מאפשרת תנועה ברשת תחת זהות לגיטימית בעיני גורמי אבטחה, שיתייחסו לפעולות ככאלה שאושרו בידי רכיבי אבטחה אחרים. הרחבת הרשאות שכזו נדרשת בידי תוקפים מתקדמים, ביניהם כנופיות מתוקצבות היטב שיש להן יכולת לרכוב זמן רב על קורבן לפני השגת מטרותיהן, או חוליות סייבר ממשלתיות.

בשלב זה, לא ידוע על ניצול בפועל של הפירצה. צ'ק פוינט הודתה בקיומה, טיפלה בה והפיצה עדכון אבטחה שמתקן את הליקוי, וכמותה גם טרנד מיקרו וביטדיפנדר.  

כל מתאר סייבר מתקדם וממושך (APT) מחייב פעולה זהירה בתוך רשתות פרוצות עד שיגיע התוקף ליעד - מסד נתונים שברצונו לגנוב, תעבורה שברצונו ליירט, משתמש ספציפי שעליו לנטר, מידע שעליו להשחית או רכיב שיסייע בהגעה לתשתית אחרת, כגון בקר פיזי-לוגי. לפיכך, כל מה שעוזר לתוקף למסך את צעדיו הוא בגדר נכס חיוני, ופרצות מעין זו הן ידע מבוקש ביותר בקרב חוליות תוקפים ממשלתיות ופליליות כאחד. למעשה, כשמתגלה פירצה שכזו, יתכן שיעדיף התוקף להוון אותה ולמכור להאקרים אחרים כמידע ערכי.

"הפירצה מאפשרת לתוקף לטעון קוד זדוני ולא חתום (לדוגמה, נוזקה) אל תוך תוכנת האנטי-וירוס", הסביר פלג הדר, חוקר בסייפבריץ', שאיתר את הליקוי. "כאשר כל שהוא צריך לעשות זה לשים קובץ זדוני בתיקייה מסויימת, לקבל את ההרשאות הגבוהות ביותר במערכת ההפעלה ולרוץ בתור תהליך חתום - דבר שיכול לגרום לתוכנות אבטחה לא לזהות את התוקף ולא להסיר את הקוד הזדוני".