חופשה

גירסת הדפסה

קבוצות דיון סקופים נושא #789455	מנהל סגן המנהל מפקח עיתונאי מקוון צל"ש

אשכול מספר 789455

miklo

חבר מתאריך 2.4.12
6274 הודעות, 65 מדרגים, 128 נקודות. ראה משוב

יום ששי ט' בניסן תשפ''ג 17:02 31.03.23

פעם שלישית בשנה וחצי Wiz מוצאת פרצת אבטחה חמורה במיקרוסופט

ערכתי לאחרונה בתאריך 31.03.23 בשעה 17:12 בברכה, miklo

https://www.geektime.co.il/wiz-finds-yet-another-vulerability-in-microsoft

ושוב, Wiz של אסף רפפורט מוצאת פרצת אבטחה חמורה במיקרוסופט
אם זה נשמע לכם מוכר, זה כי זו הפעם השלישית בשנה וחצי האחרונות שזה קורה

מקור: Wiz
כבר יותר משלוש שנים עברו מאז שאסף רפפורט, מנכ"ל ואחד ממייסדי היוניקורן Wiz, עזב את תפקידו כמנהל מרכז המחקר והפיתוח של מיקרוסופט בישראל. עם זאת, נראה שהחברה הנוכחית שלו לא מפסיקה למצוא חולשות אבטחה דווקא במוצרים של האקסית; ועכשיו זה קורה בפעם השלישית בשנה וחצי האחרונות.
לשחק עם תוצאות החיפוש, אבל לא רק
חוקרים ב-Wiz הצליחו לקבל גישת Admin לבינג – מנוע החיפוש של מיקרוסופט – שאיפשרה להם גם לבצע שינויים בתוצאות החיפוש שפולט מנוע החיפוש, וחמור מכך להזריק סקריפט שאיפשר גניבת פרטי ההזדהות של משתמשים לחבילת היישומים של מיקרוסופט. בסרטון (שמופיע ממש כאן למטה) ניתן לראות איך החוקרים של וויז הצליחו למצוא ממשק גישה לאדמין שהיה חשוף לציבור הרחב. חמור מכך, בעקבות מיסקונפיגורציה בהגדרות של Azure Active Directory – ממשק ה-SSO של מיקרוסופט – כל משתמש יכול היה להתחבר כדי לקבל גישה לפאנל האדמין שכלל גם משחק עם תוצאות החיפוש של בינג.
החוקרים מראים בפוסט שפרסמו איך הגיעו לממשק Bing Trivia, שהוא לא רק ממשק טריוויה – אלא מאפשר גם גישה לשינוי תוצאות החיפוש של המנוע. הם הגיעו לממשק שמציג תמונות ושמות סרטים בתשובה לשאלות כמו "מה הוא הפסקול הטוב ביותר לסרט", וכך במקום שהסרט Dune יצוץ בתוצאה הראשונה – החוקרים החליפו את הסרט של דני ווילנוב בסרט Hackers משנת 1995.
מלבד הגישה שאיפשרה להם את שינוי תוצאות החיפוש, הם גילו כי הם יכולים להגיע גם למשתמשים העסקיים של מיקרוסופט, וכי מנוע החיפוש עושה שימוש ב-API של Microsoft 365 – כולל יישומים כמו אאוטלוק, טימז, וורד ועוד. הם הצליחו להזריק סקריפט לתוך הממשק, שגנב בהצלחה את פרטי ההתחברות של משתמש (אחד שנוצר בייחוד בשביל ה-POC הזה, לא אדם אמיתי) וגילו כי הצליחו לקבל גישה למיילים שלו, היומנים שלו, הודעות בטימז, קבצים ב-OneDrive ועוד.
40 אלף דולר באג באונטי
בפוסט שפרסמה וויז, היא מספרת כי תהליך האסגרה מול מיקרוסופט החל כבר בסוף ינואר, כשבשבוע שעבר מיקרוסופט אישרה כי כל החולשות שמצא הצוות הישראלי נסגרו. בזכות האסגרה זכה צוות המחקר של וויז לבאונטי של 40 אלף דולר.
זו לא הפעם הראשונה שהצוות של וויז מוצא חולשה במוצרי מיקרוסופט. הפעם הראשונה הייתה באוגוסט 2021 – אז הצליחו חוקרים בחברה לקבל גישה לפרטיהם של אלפי לקוחות דרך מיסקונפיגורציה בשירות של Azure; והפעם השנייה הייתה לפני כשנה, באפריל 2022, אז פרסמנו לראשונה כי החוקרים של וויז מצאו שוב חולשת אבטחה – שוב בשירות של אז'ור ל-Databases. כזכור, אסף רפפורט כיהן כמנכ"ל של מרכז המחקר והפיתוח הישראלי של מיקרוסופט (ILDC). גם שאר המייסדים של Wiz מילאו תפקידים בכירים במרכז המו"פ של מיקרוסופט, זאת לאחר שהענקית רכשה את הסטארטאפ הקודם שהקימו Adallom ב-2015.

לחץ כאן לצפיה דרך יוטיוב

תגובה עם ציטוט | תגובה מהירה (ניהול: למבזק)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

האשכול	מחבר	תאריך כתיבה	מספר
זה בגלל הפתק של סבא	חביב	31.03.23 17:10	1
מה החוכמה למצוא פרצות אבטחה בחברות שאתה מכיר מבפנים	mctom	31.03.23 17:18	2
+1	Prodigy	31.03.23 17:34	3
אני לא חושב שבכל חברה שעבדת בה תצליח למצוא פרצת אבטחה	The Factor	31.03.23 17:38	4
זה לא פשוט כפי שאתה מתאר...	Y_N	31.03.23 17:44	5
רואים שאתה לא מהתחום, מבלי לזלזל	0x972Ops	31.03.23 22:17	11
פחקרוסופט	The Godfather	31.03.23 17:45	6
עדיף שהם ימצאו ולא אנשים אחרים שישתמשו לצרכים לא חוקיים.	ממש חדש	31.03.23 17:49	7
לא חוכמה בקושי משתמשים בבינג,	rccool	31.03.23 18:08	8
חברה עם הרבה כלים שבכל אחד מהם מתחבא משהו, ומנגד חברה שמעסיקה הרבה עובדים לשעבר	avizaz	31.03.23 18:15	9
למה יש ממשק ניהול לתוצאות חיפוש? נשמע לא טוב. חשבתי הכל בוטים. זה סימן איך אפשר להטות תוצאות	pingi	31.03.23 22:09	10