התרעה חמורה למשתמשים בגרסה ישנה של מערכת ההפעלה Windows
מהי הסכנה הנשקפת למשתמשים במערכת ההפעלה? מי נמצא בסכנה ומה ניתן לעשות? חברת מיקרוסופט פרסמה באחרונה כי זוהתה פגיעות קריטית בשירות Services Desktop Remote המשמש לגישה מרחוק לתחנות עבודה ושרתים הפועלים על גבי מערכת ההפעלה Windows בגרסאות ישנות.
מהי הסכנה?
פגיעות קריטית בגרסאות ישנות של מערכת ההפעלה WINDOWS עלולה להתממש ע"י פוגען מסוג תולעת – פוגען המסוגל להתפשט באופן עצמאי בין עמדות עבודה או שרתים פגיעים.
מימוש הפגיעות יאפשר לתוקף שליטה מלאה ברמת SYSTEM, כך שיוכל להריץ תוכנות, למחוק או לגנוב מידע או להפעיל כופרה על העמדה המותקפת. התוקף יוכל גם להמשיך את התקיפה כלפי עמדות נוספות הנגישות רשתית.
כרגע לא ידוע על מימוש תולעת כזו, אך על פי הערכות זהו עניין של זמן בלבד. במידה שתופעל תולעת - עלולה להתחולל תקיפה רחבת היקף, בסגנון מתקפת הסייבר WANNACRY שארעה בשנת 2017.
מי נמצא בסכנה?
משתמשים בגרסאות XP, WINDOWS7, שרת 2003 ושרת 2008, ששירות הגישה מרחוק של מיקרוסופט פעיל אצלהם - Remote Desktop Services (מוכר גם כ- Remote Assistance).
שירות זה מאפשר גישה מרחוק לעמדת העבודה או השרת, לצורך תמיכה או ניהול מרחוק.
משתמשים רבים מאפשרים, במודע או שלא במודע, גישה לשירות זה גם מרשת האינטרנט, לדוגמה - עבור גישה למחשב הביתי או המשרדי שלהם מרחוק. אלו יהיו היעדים הראשונים של תולעת מסוג זה.
עם זאת, גם בעמדות שאינן נגישות מרשת האינטרנט מומלץ להתקין העדכון מאחר והפגיעות עלולה לשמש לתקיפות גם ברשת הארגונית.
איזה נזק מסוגלת הנוזקה(תולעת) לעשות?
מאחר ועדיין אין תולעת כזו בפועל, הנזק אינו ידוע בשלב זה. פוטנציאל הנזק הוא רחב מאד.
מה אפשר לעשות כדי למנוע זאת?
- להתקין את העדכונים שפרסמה מיקרוסופט
- לנטרל את השירות כך שלא יפעל
- למנוע גישה בלתי מורשית, בפרט מרשת האינטרנט, לעמדות או שרתים בהם השירות פעיל (בד"כ בפורט 3389), באמצעות חוקי FIREWALL.
- להפעיל תחת הגדרות השירות הגדרה בשם NLA – Network Level Authentication. זהו מענה חלקי בלבד.
האם היו מקרים דומים בעבר?
התקדים לתולעת מסוג דומה הוא הפוגען ממתקפת הסייבר WANNACRY משנת 2017.
מתקפת הסייבר WANNACRY
בחודש מאי 2017, פרצה אחת ממתקפות הסייבר הגדולות שידע העולם - מתקפת הסייבר WANNACRY.
במתקפה הרחבה נפגעו כ-230,000 מחשבים במעל ל-150 מדינות בעולם. המתקפה פגעה קשות במערך המחשוב של שירות הבריאות הלאומי בבריטניה וגרמה לקשיים בטיפול בחולים ודחיית תורים משום שלרופאים לא הייתה יכולת לגשת לתיקי המטופלים. עוד נפגעה חברת השליחויות האמריקאית Fedex, בנק BBVA הספרדי, מפעילת התקשורת הספרדית טלפוניקה, מרכת הרכבות במספר ערים בגרמניה, מספר אוניברסיטאות, כמה סניפים של פירמת רואי החשבון KPMG ועוד.
מדוע המתקפה זכתה לכינוי WannaCry?
כיוון שמי שנפגע ממנה פשוט רצה לבכות.
המידע המלא: התרעה על פגיעות קריטיות בגרסאות ישנות של מערכת ההפעלה של WINDOWS
