חברה ישראלית חשפה פרצת אבטחת ב-SQL Server של מיקרוסופט

מאת יניב פלדמן, אוקטובר 14, 2009. 3 תגובות. שייך לקטגוריות אבטחת מידע, תוכנה

חברת סנטריגו הישראלית, המפתחת תוכנה להגנה על מסדי נתונים הודיעה היום כי אחד החוקרים בחברה נתקל בפרצה משמעותית ב-Microsoft SQL Server, אשר מאפשרת לכל משתמש עם זכויות גישה אדמיניסטרטיביות לראות סיסמאות של משתמשים אחרים, או את הסיסמאות של יישומים הניגשים לשרת.

הקטנת טקסט הגדלת טקסט

sentrigo חברת סנטריגו הישראלית, המפתחת תוכנה להגנה על מסדי נתונים הודיעה היום כי אחד החוקרים בחברה נתקל בפרצה משמעותית ב- Microsoft SQL Server, אשר מאפשרת לכל משתמש עם זכויות גישה אדמיניסטרטיביות לראות סיסמאות של משתמשים אחרים, או את הסיסמאות של יישומים הניגשים לשרת באימות SQL Server. כל ארגון המשתמש ב- SQL Server 2000, 2005 ו- 2008, על כל פלטפורמות חלונות הנתמכות, ומשתמשים במצב אימות מעורב (ידוע גם כ- SQL Server and Windows Authentication Mode), חשופים לפגיעות סיסמאות זאת, אך לקוחות המשתמשים ב- Windows Authentication Mode בלבד, אינם חשופים לפירצה.

רוני רויטמן, מנהל מכירות מוצרי אבטחת מידע ב- One1 המייצגת את סנטריגו בארץ ציין כי הפרצה בעלת משמעות רבה עקב העובדה שמשתמשים מנצלים לעתים קרובות את אותן סיסמאות במערכות רבות, דבר שמוסיף על הפירצה הקיימת את הסיכון לחשיפת מערכות נוספות לפגיעה כתוצאה מהשגת פרטי ההתחברות.

לפי מחקר שנערך במיקרוסופט בשנת 2007, למשתמשים יש כ- 25 חשבונות הדורשים סיסמאות, אך בממוצע רק 6-7 סיסמאות ברחבי כל האתרים. אם נחשפות, סיסמאות אלה יכולות לאפשר לתוקפים לפגוע במערכות נוספות בתוך הארגון, כמו גם לגשת לחשבונות אישיים בהם המשתמש עשוי לנצל סיסמה זהה. סלביק מרקוביץ', ה-CTO של סנטריגו ציין כי כי ניצול הפירצה אכן דורש גישה אדמיניסטרטיבית, אך במקרים רבים יש למשתמשים רבים גישה שכזו. "אפילו אם האדם אמין לחלוטין, אסור שיוכל לראות אי פעם סיסמה עדכנית של משתמש אחר. בנוסף, הסיכון של האקר המקבל גישה אדמיניסטרטיבית לשרת קיימת תמיד, והחשיפה של סיסמאות משתמשים נוספות עלולה להגביר משמעותית את הסיכון שיוכל לחדור למערכות אחרות", טוען מרקוביץ'.

בעוד אדמיניסטרטורים יכולים לבצע בדרך כלל Reset של סיסמת משתמש אם נדרש, הרי תהליכים מומלצים באבטחה לא מאפשרים אפילו לאדמיניסטרטורים לראות את הסיסמאות העדכניות של משתמשים אחרים. בנוסף, יישומים משקיעים רבות בערפול סיסמאות כאשר הן נדרשות בתוך התוכנה, ואסור שיאחסנו סיסמאות כ"טקסט גלוי", בזיכרון (כפי שקורה בפרצה זאת) או בדיסק. זו אפילו בעיה גדולה יותר, מאחר שארגונים רבים חייבים לציית לתקנים רבים ולרגולציות הדורשות הפרדה קפדנית של תפקידים, מה שמופר בבירור על-ידי שיתוף סיסמאות משתמשים עם האדמיניסטרטורים.

עם הגילוי של הפרצה, סנטריגו העבירה מיידית התראה לצוות MSRC במיקרוסופט. עם זאת, מיקרוסופט ציינה כי היא אינה מתכוונת לטפל בפרצה בזמן זה, ולכן סנטריגו משחררת כלי תוכנה חינם כדי לאפשר למשתמשים להגן אל מערכותיהם.

פוסטים נוספים בנושא אבטחת מידע:

ניתן להאזין מרחוק גם להקשות המקלדת שלכם
פרטי ההתחברות של עשרות אלפי משתמשי הוטמייל, ג'ימייל ויאהו נחשפו
למיקרוסופט יש אנטי-וירוס, והוא אפילו טוב. אז מה?

תגים: Add new tag, Microsoft, Microsoft SQL Server, Sentrigo, SQL SERVER, מיקרוסופט, סנטריגו, פרצת אבטחת במסד נתונים

יניב פלדמן

מייסד האתר ועורך ראשי בעל נסיון טכנולוגי של 8 שנים בתחום תשתיות מחשוב ואבטחת מידע. לפני כניסתו לתחום, כתב יניב עבור מגזיני משחקי מחשב ווידאו בארץ ובחו"ל והקים את אתר חדשות המשחקים iGames שבשיאו נצפה ע"י 15 אלף קוראים מידי יום. יניב הוא בוגר תואר ראשון במנהל עסקים והוא מחזיק בתואר Microsoft MVP בתחום אבטחת מידע. החל משנת 2007, עוסק יניב בייעוץ וסיוע בנושאי פיתוח עסקי וטכני למיזמי טכנולוגיה ואינטרנט.

פוסטים נוספים בנושא אבטחת מידע

3 תגובות לפוסט "חברה ישראלית חשפה פרצת אבטחת ב-SQL Server של מיקרוסופט"

מאת דיבי איי (זה כואב):

10/15/2009 בשעה 2:40

מתי יתחילו חברות האבטחה לעשות הדגמות לעיתונאים?
למה שאאמין להם? אולי הם סתם רוצים פרסומת חינם

להגיב
מאת yanivf:

10/15/2009 בשעה 8:32

אני בהחלט מבין לליבך, אך במקרה הזה אני מכיר אישית את המוצר, את החברה ואפילו את ה-CTO שכן עבדנו ביחד ובעבר אף סייעתי להטמיע את המוצרים שלהם אצל לקוחות. אם תרצה מידע נוסף, אשמח לקשר אותך למי שצריך.

יניב

להגיב
מאת IraF:

10/16/2009 בשעה 4:12

Hi,
Pls give me email to send CV of S/W Eng (ADBA, Data-Driven Applications, Dot Net, Power Builder, etc.).
Sorry, but I cannot find appropriate address .
Thanks,
Irina

להגיב