סנטריגו, החברה החדשנית בתוכנות אבטחת מסדי נתונים המיוצגת בישראל על-ידי One1, הודיעה כי חשפה פרצה משמעותית ב- Microsoft SQL Server, אשר מאפשרת לכל משתמש עם זכויות גישה אדמיניסטרטיביות לראות סיסמאות של משתמשים אחרים, או את הסיסמאות של יישומים הניגשים לשרת באימות SQL Server.
פרצת האבטחה התגלתה על-ידי חבר ב- Red Team של סנטריגו - קבוצה של חוקרי אבטחה המתמקדים במחקר יישומי מסד נתונים במטרה לגלות בעיות אבטחה וליצור הגנות נגדן.
לדברי רוני רויטמן, סמנכ"ל מכירות מוצרי אבטחת מידע ב- One1: "הפרצה משמעותית כיוון שמשתמשים מנצלים לעתים קרובות את אותן סיסמאות במערכות רבות, הן מערכות עסקיות והן יישומיהם האישיים."
מחקר של מיקרוסופט שהוצג בכנס W3C ב- 2007, מצא כי למשתמשים יש כ- 25 חשבונות הדורשים סיסמאות, אך בממוצע רק 6-7 סיסמאות ברחבי כל האתרים. אם נחשפות, סיסמאות אלה יכולות לאפשר לתוקפים לפגוע במערכות נוספות בתוך הארגון, כמו גם לגשת לחשבונות אישיים בהם המשתמש עשוי לנצל סיסמה זהה.
"במהלך מחקר אבטחה שוטף שלנו לתוך מסדי נתונים SQL Server, הבחין אחד מחוקרינו כי סיסמאותיו האישיות נראו בבירור כזיכרון ב- SQL Server", אמר סלביק מרקוביץ', ה- CTO של סנטריגו. "נכון שניצול פירצה זאת דורש גישה אדמיניסטרטיבית, אך במקרים רבים יש למשתמשים רבים גישה שכזו. אפילו אם האדם אמין לחלוטין, אסור שיוכל לראות אי פעם סיסמה עדכנית של משתמש אחר. בנוסף, הסיכון של האקר המקבל גישה אדמיניסטרטיבית לשרת קיימת תמיד, והחשיפה של סיסמאות משתמשים נוספות עלולה להגביר משמעותית את הסיכון שיוכל לחדור למערכות אחרות".
בעוד אדמיניסטרטורים יכולים לבצע בדרך כלל Reset של סיסמת משתמש אם נדרש, הרי תהליכים מומלצים באבטחה לא מאפשרים אפילו לאדמיניסטרטורים לראות את הסיסמאות העדכניות של משתמשים אחרים.
בנוסף, יישומים משקיעים רבות בערפול סיסמאות כאשר הן נדרשות בתוך התוכנה, ואסור שיאחסנו סיסמאות כ"טקסט גלוי", בזיכרון (כפי שקורה בפרצה זאת) או בדיסק. זו אפילו בעיה גדולה יותר, מאחר שארגונים רבים חייבים לציית לתקנים רבים ולרגולציות הדורשות הפרדה קפדנית של תפקידים, מה שמופר בבירור על-ידי שיתוף סיסמאות משתמשים עם האדמיניסטרטורים. "סנטריגו נקטה את הפעולה הנדרשת בכך שעדכנה תחילה את מיקרוסופט, והותירה למיקרוסופט זמן רב לתקן את הבעיה", אמר אלכסנדר קורנברוסט, מנכ"ל Red Database Security ואחד החוקרים המובילים בעולם בתחום אבטחת מסדי נתונים. "כאשר היה ברור שמיקרוסופט לא מתכוונת לטפל בבעיה, זוהי טובתה של כלל קהילת SQL Server לשתף במידע על קיומו של האיום ולספק פתרון מיידי. הפרה זאת מהווה איום לכל ארגון המריץ SQL Server, ואני ממליץ לארגוני IT לבדוק את חשיפתם, ולהטמיע כלי כמו זה של סנטריגו להגבלת הסיכון שלהם".
מי נפגע?
ארגונים המשתמשים ב- SQL Server 2000, 2005 ו- 2008, על כל פלטפורמות חלונות הנתמכות, ומשתמשים במצב אימות מעורב (ידוע גם כ- SQL Server and Windows Authentication Mode), חשופים לפגיעות סיסמאות זאת.
לקוחות MS SQL Server המשתמשים ב- Windows Authentication Mode בלבד, אינם חשופים לפרצה זאת.
עם הגילוי של הפרצה, סנטריגו העבירה מיידית התראה לצוות MSRC במיקרוסופט. עם זאת, מיקרוסופט ציינה כי היא אינה מתכוונת לטפל בפרצה בזמן זה, ולכן סנטריגו משחררת כלי תוכנה חינם כדי לאפשר למשתמשים להגן אל מערכותיהם.
פרויקט ה- CVE (Common Vulnerabilities and Exposures) הקצה לבעיה זאת את השם CVE-2009-3039, והבעיה מועמדת להיכלל ברשימת ה- CVE (http://cve.mitre.org) אשר מעניק שמות סטנדרטיים לבעיות אבטחה.
למידע נוסף על פרצה זאת העלולה לפגוע בסביבות SQL Server, או להורדת כלי החינם להסרת סיסמאות מהזיכרון: www.sentrigo.com/passwords
פרצת האבטחה התגלתה על-ידי חבר ב- Red Team של סנטריגו - קבוצה של חוקרי אבטחה המתמקדים במחקר יישומי מסד נתונים במטרה לגלות בעיות אבטחה וליצור הגנות נגדן.
לדברי רוני רויטמן, סמנכ"ל מכירות מוצרי אבטחת מידע ב- One1: "הפרצה משמעותית כיוון שמשתמשים מנצלים לעתים קרובות את אותן סיסמאות במערכות רבות, הן מערכות עסקיות והן יישומיהם האישיים."
מחקר של מיקרוסופט שהוצג בכנס W3C ב- 2007, מצא כי למשתמשים יש כ- 25 חשבונות הדורשים סיסמאות, אך בממוצע רק 6-7 סיסמאות ברחבי כל האתרים. אם נחשפות, סיסמאות אלה יכולות לאפשר לתוקפים לפגוע במערכות נוספות בתוך הארגון, כמו גם לגשת לחשבונות אישיים בהם המשתמש עשוי לנצל סיסמה זהה.
"במהלך מחקר אבטחה שוטף שלנו לתוך מסדי נתונים SQL Server, הבחין אחד מחוקרינו כי סיסמאותיו האישיות נראו בבירור כזיכרון ב- SQL Server", אמר סלביק מרקוביץ', ה- CTO של סנטריגו. "נכון שניצול פירצה זאת דורש גישה אדמיניסטרטיבית, אך במקרים רבים יש למשתמשים רבים גישה שכזו. אפילו אם האדם אמין לחלוטין, אסור שיוכל לראות אי פעם סיסמה עדכנית של משתמש אחר. בנוסף, הסיכון של האקר המקבל גישה אדמיניסטרטיבית לשרת קיימת תמיד, והחשיפה של סיסמאות משתמשים נוספות עלולה להגביר משמעותית את הסיכון שיוכל לחדור למערכות אחרות".
בעוד אדמיניסטרטורים יכולים לבצע בדרך כלל Reset של סיסמת משתמש אם נדרש, הרי תהליכים מומלצים באבטחה לא מאפשרים אפילו לאדמיניסטרטורים לראות את הסיסמאות העדכניות של משתמשים אחרים.
בנוסף, יישומים משקיעים רבות בערפול סיסמאות כאשר הן נדרשות בתוך התוכנה, ואסור שיאחסנו סיסמאות כ"טקסט גלוי", בזיכרון (כפי שקורה בפרצה זאת) או בדיסק. זו אפילו בעיה גדולה יותר, מאחר שארגונים רבים חייבים לציית לתקנים רבים ולרגולציות הדורשות הפרדה קפדנית של תפקידים, מה שמופר בבירור על-ידי שיתוף סיסמאות משתמשים עם האדמיניסטרטורים. "סנטריגו נקטה את הפעולה הנדרשת בכך שעדכנה תחילה את מיקרוסופט, והותירה למיקרוסופט זמן רב לתקן את הבעיה", אמר אלכסנדר קורנברוסט, מנכ"ל Red Database Security ואחד החוקרים המובילים בעולם בתחום אבטחת מסדי נתונים. "כאשר היה ברור שמיקרוסופט לא מתכוונת לטפל בבעיה, זוהי טובתה של כלל קהילת SQL Server לשתף במידע על קיומו של האיום ולספק פתרון מיידי. הפרה זאת מהווה איום לכל ארגון המריץ SQL Server, ואני ממליץ לארגוני IT לבדוק את חשיפתם, ולהטמיע כלי כמו זה של סנטריגו להגבלת הסיכון שלהם".
מי נפגע?
ארגונים המשתמשים ב- SQL Server 2000, 2005 ו- 2008, על כל פלטפורמות חלונות הנתמכות, ומשתמשים במצב אימות מעורב (ידוע גם כ- SQL Server and Windows Authentication Mode), חשופים לפגיעות סיסמאות זאת.
לקוחות MS SQL Server המשתמשים ב- Windows Authentication Mode בלבד, אינם חשופים לפרצה זאת.
עם הגילוי של הפרצה, סנטריגו העבירה מיידית התראה לצוות MSRC במיקרוסופט. עם זאת, מיקרוסופט ציינה כי היא אינה מתכוונת לטפל בפרצה בזמן זה, ולכן סנטריגו משחררת כלי תוכנה חינם כדי לאפשר למשתמשים להגן אל מערכותיהם.
פרויקט ה- CVE (Common Vulnerabilities and Exposures) הקצה לבעיה זאת את השם CVE-2009-3039, והבעיה מועמדת להיכלל ברשימת ה- CVE (http://cve.mitre.org) אשר מעניק שמות סטנדרטיים לבעיות אבטחה.
למידע נוסף על פרצה זאת העלולה לפגוע בסביבות SQL Server, או להורדת כלי החינם להסרת סיסמאות מהזיכרון: www.sentrigo.com/passwords
