חוקרים טוענים: הפריצה ל-SharePoint היא "עבודה מבפנים"

תמונה: Dreamstime

שיחת הברזייה (או הסלאק) הפופולרית ביותר בשבוע האחרון היא ככל הנראה הפריצה לשרתי Microsoft SharePoint, שבמהלכה נפרצו גם סוכנות הגרעין האמריקאית ורשויות נוספות. כשבוע לאחר הסערה חוקרי אבטחה הצליחו לענות על לא מעט שאלות סביב הפריצה, אך שאלה אחת נותרה פתוחה: איך ידעו התוקפים לנצל את הפרצות בצורה שהצליחה לעקוף את התיקון ששחררה מיקרוסופט רק יום אחד לאחר מכן?

על פי דיווח של The Register, יש מי שטוענים כי מדובר בעבודה מבפנים. “מישהו הדליף פה משהו. יש לנו פרצת Zero-Day פעילה שעוקפת תיקון שיצא יום אחריה", טען דאסטין צ'יילדס, בכיר ב-Trend Micro. כידוע, התקיפה זוהתה לראשונה ב-7 ביולי, כאשר תיקון האבטחה החודשי של מיקרוסופט שוחרר יום למחרת. זמן לא רב לאחר מכן, החברה נאלצה להודות כי תיקון האבטחה שלה לא חסם לחלוטין את הפרצה.

לטענת החוקרים, הכול התחיל לפני כחודשיים בתחרות ההאקינג היוקרתית Pwn2Own, שנערכת פעמיים בשנה ביוזמת ZDI. האחרונה התקיימה בברלין ונפתחה ב-15 במאי. ביום השני לתחרות, החוקר הווייטנאמי Dinh Ho Anh Khoa שילב עקיפת מנגנון אימות (auth bypass) עם באג של סדרת אובייקטים לא מאובטחת (insecure deserialization), והצליח לנצל את SharePoint באופן שאיפשר לו להריץ קוד מרחוק – מה שהקנה לו פרס של 100 אלף דולר.

לאחר שהחוקר הדגים את הפריצה על הבמה, הוא ונציגי מיקרוסופט ישבו לדיון בחדר פרטי, בו הסביר החוקר את התהליך והעביר מסמך מלא עם הטכניקה שבה השתמש. על פי חוקי התחרות, אם לא מדובר בפגיעות כפולה או ידועה מראש, יש לחברה 90 יום לשחרר תיקון לפני שהפרצה נחשפת לציבור. לטענת צ'יילדס, מיקרוסופט קיבלה תיעוד מלא של הפרצה.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

מה דלף ומה תוקן?

כחודשיים לאחר מכן, ב-8 ביולי, מיקרוסופט חשפה את שתי הפרצות יחד עם עדכון האבטחה הרשמי של חודש יולי, אך הופתעה לגלות שהן עדיין לא נחסמו לחלוטין. על פי הדיווח, אחת התחנות המרכזיות שעשויות להעיד על מועד הדליפה היא תוכנית MAPP – ‏Microsoft Active Protections Program, המיועדת לשותפים אבטחתיים. מיקרוסופט מספקת להם מידע על חולשות כשבועיים לפני Patch Tuesday, כדי שיוכלו להכין מראש עדכוני הגנה. כלומר, השותפים קיבלו את המידע כבר ב-24 ביוני.

ZDI וחברות אבטחה נוספות ניתחו את העדכון ומצאו כי התיקון לעקיפת האימות היה ממוקד מדי. בפועל, תוקף שהיה חשוף למידע המוקדם שקיבלו שותפי MAPP יכול היה להבין בקלות כיצד לעקוף את התיקון.

במיקרוסופט סירבו להגיב לפניית The Register אך מסרו כי "במסגרת הנהלים שלנו, נבחן את האירוע, נאתר נקודות כשל, וניישם את השיפורים הרלוונטיים".

חפרפרת פנימית או דווקא AI?

חוקר אבטחה נוסף שבחן את המקרה, סאטנם נאראנג מ-Tenable, העלה סברה נוספת, ייתכן כי הדלפה מכוונת לא הייתה המקור היחיד לפריצה. לדבריו, חוקרי אבטחה נוספים הצליחו לשחזר את שרשרת הפריצה באמצעות Google Gemini, ולכן סביר שהתוקפים עשו תהליך דומה, אולי עם אחד מהמודלים המובילים כמו Gemini, ChatGPT o3 או Claude Opus: “קשה לדעת מה היה הטריגר הראשון, אבל ברור שהתוקפים הצליחו לנצל את הפרצות בזמן שיא".

עד שיגלו מהיכן בדיוק דלף המידע, אם זה בכלל משנה, האמת הכואבת היא שמעל 400 ארגונים כבר נפגעו, כולל גופים ממשלתיים, וביניהם סוכנות הגרעין של ארצות הברית. לפחות שלוש קבוצות תקיפה, בהן Linen Typhoon ו-Violet Typhoon הסיניות, כבר ניצלו את הפרצות לשם ריגול, גניבת מידע והפצת כופרות. מיקרוסופט שחררה מאז תיקונים נוספים, אבל את היקף הנזק המלא כנראה שנגלה רק בהמשך.