סמפריס ו-Akamai מאחדות כוחות כדי לסגור פרצת אבטחה ב-Windows server 2025
חברת הסייבר הישראלית Semperis תשלב בפלטפורמה שלה פתרון שימנע את האפשרות לנצל Service Accounts בארגון
תמונה: pexels
חברת הסייבר הישראלית Semperis הודיעה היום (ג') על שיתוף פעולה חדש עם צוות המחקר של Akamai, במסגרתו פיתחו השתיים יכולות זיהוי מתקדמות למניעת מתקפות על ארגונים. היכולות החדשות נועדו להגן מפני BadSuccessor, טכניקת ניצול הרשאות שמנצלת פיצ'ר חדש ב-Windows Server 2025, והן יוטמעו בתוך פלטפורמת Directory Services Protector (DSP) של סמפריס.
BadSuccessor מנצלת את מנגנון delegated Managed Service Accounts (או dMSAs), פיצ'ר חדש ב-Windows Server 2025 שנועד במקור לשפר את אבטחת ה-Service Accounts, אותם חשבונות שנוצרים בתוך המערכת עבור שירותים ותהליכים אוטומטיים. צוות החוקרים של Akamai גילה כי תוקפים יכולים לנצל את הפיצ'ר כדי להתחזות למשתמשים בעלי הרשאות נרחבות במיוחד ב-Active Directory, כולל Domain Admins. נכון לעכשיו, עדיין לא פורסם עדכון תיקון לפרצה.
כדי להתמודד עם האיום החדש, Semperis עדכנה את פלטפורמת ה-DSP שלה והוסיפה אינדיקטור חדש לחשיפה (IOE) ושלושה אינדיקטורים לפריצה (IOCs), שנועדו לזהות התנהגות חריגה של חשבונות dMSA, אותם חשבונות שירות החשופים לפריצה. האינדיקטורים יסייעו לצוותי האבטחה לזהות הרשאות מופרזות, קישורים זדוניים בין חשבונות dMSA לחשבונות בעלי הרשאות גבוהות, וניסיונות למקד מתקפה בחשבונות רגישים.
מייסדי סמפריס, תמונה:Semperis
"Semperis פעלה במהירות כדי לתרגם את הפרצה ליכולות גילוי אפקטיביות, והדגימה כיצד שיתוף פעולה בין חוקרים לספקיות יכול לייצר השפעה משמעותית ומהירה", אמר יובל גורדון, חוקר אבטחה ב-Akamai, "הניצול של חשבונות שירות הוא נושא מדאיג והולך, והפרצה הזו היא קריאת השכמה".
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
"חשבונות שירות נותרים מהנכסים הכי פחות מנוהלים, אך מהחזקים ביותר, בסביבות ארגוניות", הוסיף תומר נחום, חוקר אבטחה ב-Semperis, "שיתוף הפעולה עם Akamai אפשר לנו לסגור פערי זיהוי במהירות, ולספק למגנים שקיפות לאחד האזורים המורכבים ביותר ב-Active Directory, אזור שהתוקפים ממשיכים לנצל".
על פי Semperis, הפרצה משפיעה על כל ארגון שבו פועל לפחות בקר דומיין (DC) אחד עם Windows Server 2025. גם בקר דומיין בודד שמוגדר באופן שגוי עלול לחשוף את כלל הסביבה לסיכון. עד ש-Microsoft תשחרר תיקון רשמי, ממליצה החברה לארגונים לבצע ביקורת יסודית על הרשאות dMSA ולנטר סימנים לשימוש לרעה, בעזרת כלים מתקדמים.
