Group Policy Client Privilege Elevation

Recommendation: Install Microsoft October Security Updates

19/10/2020
CVE
חשיבות
מושפעים מרכזיים
Windows Server 2008 and above, windows 7 SP1 and above

המלצה:

להתקין את עדכוני האבטחה של חודש אוקטובר על כלל התחנות והשרתים כאשר עמדות הקצה הינן יעד יותר קל לניצול מאשר השרתים.

מידע כללי והרחבות:

בתאריך 13.10.2020 פרסמה Microsoft חולשה אשר היא זיהתה, כרגע לא ידוע על כלים אשר יודעים לממש את החולשה/מימשו את החולשה.

החולשה נמצאת במנגון ה-group policy בתחנות היעד "Group Policy Client" אשר מאפשר לבצע privilege elevation מרמת הרשאות של משתמש חלש (ללא הרשאות אדמין) להרצת תהליך עם הרשאות גבוהות ומשם להשיג שליטה מלאה למערכת.

החולשה היא בדיקה לא מספקת של מנגון בקרת הגישה ב-Group policy client.

חוות דעת אישית:

סביר להניח שלחולשה זאת ייצרו כלים אשר יודעים לנצל אותה בקרוב, על כן כדאי להתחיל בתהליך התקנת עדכונים בארגון שלכם.

ככלל אנחנו ממליצים לא להסתכל רק על חולשות עם ברמת חומרה גבוהה, החומרה היא שילוב של היכולת לממש את הפריצה, הקלות שלה ומה ניתן להשיג בעזרתה, אך חשוב להבין שגם חולשה שכיום לא קיימת תוכנה אשר יודעת להשתמש בה מנת לפרוץ יכול להיות שבעוד שעה, שבוע, חודש תוכנה כזאת תיווצר, אך העדכון עם רמת החומרה שלו כבר נשלח והתייחסות אליו כנמוך.

לכן הלוגיקה הבאה הינה המומלצת על ידינו לעדכוני תוכנה:

עמדות קצה:
מעגלי עדכון – עדכון בגלים לפי קבוצות משתמשים.
החלת העדכונים על אנשי ה-IT ומשתמשים מובילים למשך יום עד יומיים.
בהיעדר פידבק שלילי הפצת העדכון לכלל העובדים למעט VIP.
הפצה ל-VIP לאחר כיומיים ללא פידבק שלילי .

שרתים:
Domain Controllers ותשתיות Microsoft:
נעדכן את השרתים באופן מיידי, לאחר קריאת ה-KB-ים הרלוונטים על מנת לוודא שאין השפעות על התשתיות.
ההמלצה להחלה מיידית היא כיוון ש-Microsoft מבצעים בדיקות על המוצרים שלהם עבור ה-KB-ים אותם הם משחררים (אם כי באופן חלקי אך מספק) התייחסות ספציפית לשרתים מסוג Domain Controller – זהו השרת החשוב ביותר בסביבה, אנחנו נרצה שהוא יהיה בתצורה המאובטחת ביותר שלו, הסיכון תקלה טכנית הוא קטן ביותר ופגיעה אבטחתית בעזרת ניצול של חולשה הרבה יותר הרסני.

שרתי אפליקציה פיתוח עצמי/כלים נוספים:
עבור שרתי אפליקציה נעדיף הקמת מעגלי עדכון כאשר אם אנו עובדים עם אפליקציות N-tier אנחנו נצרה לייצר קבוצה ראשונה עם 1 מכל tier, לראות שהעדכון עובד בהצלחה ("פתיחת ציר" לשרתים) ולאחר מכן להמשיך באופן הדרגתי לכל שרת.
העדיפות כמובן לייצר תהליך ממוכן, זה אומנם קשה באופן יחסי למיכון, אך להתמודד עם ransomware קצת יותר קשה.

מקור פרסום החולשה:

Zero Day Initiative
נכתב ע״י Dima Shaposhnikov

פוסטים נוספים

12/04/2021
Privilege escalation vulnerability in Azure Function

בעזרת מניפולציות בסיסיות ושימוש בכלים סטנדרטיים המורשים לכל חשבון בעל הרשאות נמוכות
(non-privileged accounts) במערכת ההפעלה, ניתן לבצע הזרקה של תוכן זדוני אשר יכול להשפיע באופן נרחב על ה-Docker כולו, וכל זאת ללא ידיעת מנהלי האבטחה בארגון.

30/03/2021
GDPR UNSECURE IMPLEMENTATION

GDPR (General Data Protection Regulation) הינה רגולציית ההגנה על הפרטיות של האיחוד האירופאי, המחייבת ארגונים להגן על מידע אישי שברשותם. במאמר זה נתרכז בבקרה המחייבת חברה לאפשר לאזרח (נשוא המידע) לאחזר את כל המידע שהיא מאחסנת עליו. ובשפת התקן – DSAR (Data Subject Access Request) ועל חולשות שהתגלו בתהליך זה.

08/03/2021
HAFNIUM targeting Exchange servers with Zero-day exploits

מתקפה ושימוש בפרצות אלו מיוחסים על ידי מייקרוסופט ברמת ודאות גבוהה מאוד לקבוצת HAFNIUM (קבוצת ריגול סינית אשר נהגה לתקוף ארגונים בארצות הברית כגון מוסדות השכלה גבוהה, משרדי עורכי דין ועוד).

מנף את העסק שלך בזמן שאתה מגן על הדברים החשובים

בוא נדבר על מערך האבטחה שלך
הירשם לניוזלטר
נשלח לך מייל שבועי שיעזור לך לשפר רמת האבטחה שלך, ומדי פעם גם קצת תקשורת שיווקית, בהתאם למדיניות הפרטיות שלנו.
lockplusunlockunlock-altcopyrightcross linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram