ערכתי לאחרונה בתאריך 31.03.23 בשעה 17:12 בברכה, miklo
https://www.geektime.co.il/wiz-finds-yet-another-vulerability-in-microsoft
ושוב, Wiz של אסף רפפורט מוצאת פרצת אבטחה חמורה במיקרוסופט
אם זה נשמע לכם מוכר, זה כי זו הפעם השלישית בשנה וחצי האחרונות שזה קורה
מקור: Wiz
כבר יותר משלוש שנים עברו מאז שאסף רפפורט, מנכ"ל ואחד ממייסדי היוניקורן Wiz, עזב את תפקידו כמנהל מרכז המחקר והפיתוח של מיקרוסופט בישראל. עם זאת, נראה שהחברה הנוכחית שלו לא מפסיקה למצוא חולשות אבטחה דווקא במוצרים של האקסית; ועכשיו זה קורה בפעם השלישית בשנה וחצי האחרונות.
לשחק עם תוצאות החיפוש, אבל לא רק
חוקרים ב-Wiz הצליחו לקבל גישת Admin לבינג – מנוע החיפוש של מיקרוסופט – שאיפשרה להם גם לבצע שינויים בתוצאות החיפוש שפולט מנוע החיפוש, וחמור מכך להזריק סקריפט שאיפשר גניבת פרטי ההזדהות של משתמשים לחבילת היישומים של מיקרוסופט. בסרטון (שמופיע ממש כאן למטה) ניתן לראות איך החוקרים של וויז הצליחו למצוא ממשק גישה לאדמין שהיה חשוף לציבור הרחב. חמור מכך, בעקבות מיסקונפיגורציה בהגדרות של Azure Active Directory – ממשק ה-SSO של מיקרוסופט – כל משתמש יכול היה להתחבר כדי לקבל גישה לפאנל האדמין שכלל גם משחק עם תוצאות החיפוש של בינג.
החוקרים מראים בפוסט שפרסמו איך הגיעו לממשק Bing Trivia, שהוא לא רק ממשק טריוויה – אלא מאפשר גם גישה לשינוי תוצאות החיפוש של המנוע. הם הגיעו לממשק שמציג תמונות ושמות סרטים בתשובה לשאלות כמו "מה הוא הפסקול הטוב ביותר לסרט", וכך במקום שהסרט Dune יצוץ בתוצאה הראשונה – החוקרים החליפו את הסרט של דני ווילנוב בסרט Hackers משנת 1995.
מלבד הגישה שאיפשרה להם את שינוי תוצאות החיפוש, הם גילו כי הם יכולים להגיע גם למשתמשים העסקיים של מיקרוסופט, וכי מנוע החיפוש עושה שימוש ב-API של Microsoft 365 – כולל יישומים כמו אאוטלוק, טימז, וורד ועוד. הם הצליחו להזריק סקריפט לתוך הממשק, שגנב בהצלחה את פרטי ההתחברות של משתמש (אחד שנוצר בייחוד בשביל ה-POC הזה, לא אדם אמיתי) וגילו כי הצליחו לקבל גישה למיילים שלו, היומנים שלו, הודעות בטימז, קבצים ב-OneDrive ועוד.
40 אלף דולר באג באונטי
בפוסט שפרסמה וויז, היא מספרת כי תהליך האסגרה מול מיקרוסופט החל כבר בסוף ינואר, כשבשבוע שעבר מיקרוסופט אישרה כי כל החולשות שמצא הצוות הישראלי נסגרו. בזכות האסגרה זכה צוות המחקר של וויז לבאונטי של 40 אלף דולר.
זו לא הפעם הראשונה שהצוות של וויז מוצא חולשה במוצרי מיקרוסופט. הפעם הראשונה הייתה באוגוסט 2021 – אז הצליחו חוקרים בחברה לקבל גישה לפרטיהם של אלפי לקוחות דרך מיסקונפיגורציה בשירות של Azure; והפעם השנייה הייתה לפני כשנה, באפריל 2022, אז פרסמנו לראשונה כי החוקרים של וויז מצאו שוב חולשת אבטחה – שוב בשירות של אז'ור ל-Databases. כזכור, אסף רפפורט כיהן כמנכ"ל של מרכז המחקר והפיתוח הישראלי של מיקרוסופט (ILDC). גם שאר המייסדים של Wiz מילאו תפקידים בכירים במרכז המו"פ של מיקרוסופט, זאת לאחר שהענקית רכשה את הסטארטאפ הקודם שהקימו Adallom ב-2015.
חבר מתאריך 27.11.20
776 הודעות, 3 מדרגים, 6 נקודות. ראה משוב
בתגובה להודעה מספר 0
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 23.2.20
4447 הודעות, 11 מדרגים, 22 נקודות. ראה משוב
בתגובה להודעה מספר 0
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 17.2.15
61340 הודעות, 240 מדרגים, 349 נקודות. ראה משוב
בתגובה להודעה מספר 2
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 14.1.12
4878 הודעות, 30 מדרגים, 32 נקודות. ראה משוב
בתגובה להודעה מספר 2
תנסה. אחר כך תגיד לי מה החוכמה
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 1.4.12
2196 הודעות, 8 מדרגים, 8 נקודות. ראה משוב
בתגובה להודעה מספר 2
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 13.5.21
9204 הודעות, 81 מדרגים, 115 נקודות. ראה משוב
בתגובה להודעה מספר 2
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 23.4.21
7086 הודעות, 70 מדרגים, 138 נקודות. ראה משוב
בתגובה להודעה מספר 0
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 27.4.09
33870 הודעות, 154 מדרגים, 300 נקודות. ראה משוב
בתגובה להודעה מספר 0
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 8.2.12
4543 הודעות, 27 מדרגים, 23 נקודות. ראה משוב
בתגובה להודעה מספר 0
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 19.10.15
2828 הודעות, 29 מדרגים, 52 נקודות. ראה משוב
בתגובה להודעה מספר 0
לרוב חברות יש בהן מוצר אחד אז לא בטוח שימצאו, כשמדובר בכל כך הרבה מוצרים זה בלתי נמנע, בטח אם עבדת שם ועל המוצרים האלה ספציפית.
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חבר מתאריך 9.9.14
23092 הודעות, 47 מדרגים, 70 נקודות. ראה משוב
בתגובה להודעה מספר 0
כפי שלדעתי כל החברות נוקטות.
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד