דף הבית  >> 
 >> 

הרשם  |  התחבר


סנטריגו מגלה פרצה משמעותית של חשיפת סיסמאות ב- Microsoft SQL Server 

מאת    [ 14/10/2009 ]

מילים במאמר: 514   [ נצפה 2773 פעמים ]

סנטריגו, החברה החדשנית בתוכנות אבטחת מסדי נתונים המיוצגת בישראל על-ידי One1, הודיעה כי חשפה פרצה משמעותית ב- Microsoft SQL Server, אשר מאפשרת לכל משתמש עם זכויות גישה אדמיניסטרטיביות לראות סיסמאות של משתמשים אחרים, או את הסיסמאות של יישומים הניגשים לשרת באימות SQL Server.

פרצת האבטחה התגלתה על-ידי חבר ב- Red Team של סנטריגו - קבוצה של חוקרי אבטחה המתמקדים במחקר יישומי מסד נתונים במטרה לגלות בעיות אבטחה וליצור הגנות נגדן.

לדברי רוני רויטמן, סמנכ"ל מכירות מוצרי אבטחת מידע ב- One1: "הפרצה משמעותית כיוון שמשתמשים מנצלים לעתים קרובות את אותן סיסמאות במערכות רבות, הן מערכות עסקיות והן יישומיהם האישיים."

מחקר של מיקרוסופט שהוצג בכנס W3C ב- 2007, מצא כי למשתמשים יש כ- 25 חשבונות הדורשים סיסמאות, אך בממוצע רק 6-7 סיסמאות ברחבי כל האתרים. אם נחשפות, סיסמאות אלה יכולות לאפשר לתוקפים לפגוע במערכות נוספות בתוך הארגון, כמו גם לגשת לחשבונות אישיים בהם המשתמש עשוי לנצל סיסמה זהה.

"במהלך מחקר אבטחה שוטף שלנו לתוך מסדי נתונים SQL Server, הבחין אחד מחוקרינו כי סיסמאותיו האישיות נראו בבירור כזיכרון ב- SQL Server", אמר סלביק מרקוביץ', ה- CTO של סנטריגו. "נכון שניצול פירצה זאת דורש גישה אדמיניסטרטיבית, אך במקרים רבים יש למשתמשים רבים גישה שכזו. אפילו אם האדם אמין לחלוטין, אסור שיוכל לראות אי פעם סיסמה עדכנית של משתמש אחר. בנוסף, הסיכון של האקר המקבל גישה אדמיניסטרטיבית לשרת קיימת תמיד, והחשיפה של סיסמאות משתמשים נוספות עלולה להגביר משמעותית את הסיכון שיוכל לחדור למערכות אחרות".

בעוד אדמיניסטרטורים יכולים לבצע בדרך כלל Reset של סיסמת משתמש אם נדרש, הרי תהליכים מומלצים באבטחה לא מאפשרים אפילו לאדמיניסטרטורים לראות את הסיסמאות העדכניות של משתמשים אחרים.

בנוסף, יישומים משקיעים רבות בערפול סיסמאות כאשר הן נדרשות בתוך התוכנה, ואסור שיאחסנו סיסמאות כ"טקסט גלוי", בזיכרון (כפי שקורה בפרצה זאת) או בדיסק. זו אפילו בעיה גדולה יותר, מאחר שארגונים רבים חייבים לציית לתקנים רבים ולרגולציות הדורשות הפרדה קפדנית של תפקידים, מה שמופר בבירור על-ידי שיתוף סיסמאות משתמשים עם האדמיניסטרטורים. "סנטריגו נקטה את הפעולה הנדרשת בכך שעדכנה תחילה את מיקרוסופט, והותירה למיקרוסופט זמן רב לתקן את הבעיה", אמר אלכסנדר קורנברוסט, מנכ"ל Red Database Security ואחד החוקרים המובילים בעולם בתחום אבטחת מסדי נתונים. "כאשר היה ברור שמיקרוסופט לא מתכוונת לטפל בבעיה, זוהי טובתה של כלל קהילת SQL Server לשתף במידע על קיומו של האיום ולספק פתרון מיידי. הפרה זאת מהווה איום לכל ארגון המריץ SQL Server, ואני ממליץ לארגוני IT לבדוק את חשיפתם, ולהטמיע כלי כמו זה של סנטריגו להגבלת הסיכון שלהם".

מי נפגע?
ארגונים המשתמשים ב- SQL Server 2000, 2005 ו- 2008, על כל פלטפורמות חלונות הנתמכות, ומשתמשים במצב אימות מעורב (ידוע גם כ- SQL Server and Windows Authentication Mode), חשופים לפגיעות סיסמאות זאת.
לקוחות MS SQL Server המשתמשים ב- Windows Authentication Mode בלבד, אינם חשופים לפרצה זאת.

עם הגילוי של הפרצה, סנטריגו העבירה מיידית התראה לצוות MSRC במיקרוסופט. עם זאת, מיקרוסופט ציינה כי היא אינה מתכוונת לטפל בפרצה בזמן זה, ולכן סנטריגו משחררת כלי תוכנה חינם כדי לאפשר למשתמשים להגן אל מערכותיהם.

פרויקט ה- CVE (Common Vulnerabilities and Exposures) הקצה לבעיה זאת את השם CVE-2009-3039, והבעיה מועמדת להיכלל ברשימת ה- CVE (http://cve.mitre.org) אשר מעניק שמות סטנדרטיים לבעיות אבטחה.
למידע נוסף על פרצה זאת העלולה לפגוע בסביבות SQL Server, או להורדת כלי החינם להסרת סיסמאות מהזיכרון: www.sentrigo.com/passwords



מאמרים חדשים מומלצים: 

חשיבות היוגה לאיזון אורח חיים יושבני  -  מאת: מיכל פן מומחה
היתרונות של עיצוב בית בצורת L -  מאת: פיטר קלייזמר מומחה
לגלות, לטפח, להצליח: חשיבות מימוש פוטנציאל הכישרון לילדים עם צרכים מיוחדים -  מאת: עמית קניגשטיין מומחה
המדריך לניהול כלכלת משק בית עם טיפים ועצות לניהול תקציב -  מאת: נדב טל מומחה
חשבתם שרכב חשמלי פוטר מטיפולים.. תחשבו שוב -  מאת: יואב ציפרוט מומחה
מה הסיבה לבעיות האיכות בעולם -  מאת: חנן מלין מומחה
מערכת יחסים רעילה- איך תזהו מניפולציות רגשיות ותתמודדו איתם  -  מאת: חגית לביא מומחה
לימודים במלחמה | איך ללמוד ולהישאר מרוכז בזמן מלחמה -  מאת: דניאל פאר
אימא אני מפחד' הדרכה להורים כיצד תוכלו לנווט את קשיי 'מצב המלחמה'? -  מאת: רזיאל פריגן פריגן מומחה
הדרך שבה AI (בינה מלאכותית) ממלאת את העולם בזבל דיגיטלי -  מאת: Michael - Micha Shafir מומחה

מורנו'ס - שיווק באינטרנט

©2022 כל הזכויות שמורות

אודותינו
שאלות נפוצות
יצירת קשר
יתרונות לכותבי מאמרים
מדיניות פרטיות
עלינו בעיתונות
מאמרים חדשים

לכותבי מאמרים:
פתיחת חשבון חינם
כניסה למערכת
יתרונות לכותבי מאמרים
תנאי השירות
הנחיות עריכה
תנאי שימוש במאמרים



מאמרים בפייסבוק   מאמרים בטוויטר   מאמרים ביוטיוב