יועץ אבטחת מידע   |   יוני 3, 2024

מקרה לקוח: תובנות מסקר סיכונים – ממתקפת Password Spray לחשיפת בעיית VPN חמורה

במסגרת סקר סיכונים של אחד מלקוחותינו, הצוות הטכני שלנו ביצע מבדק חדירה חיצוני מקיף לארגון. מטרת המבדק הייתה לבדוק את רמת האבטחה של מערכות הארגון ולזהות פגיעויות פוטנציאליות בשטח התקיפה החיצוני. מה שגילינו היה מרעיש ומטריד כאחד.

ההתחלה: מתקפת  Password Spray

הכול התחיל בניסיון פשוט אך ממוקד של מתקפת Password Spray. מתקפת Password Spray היא סוג של מתקפת Brute Force, בה תוקף מנסה להתחבר לחשבונות שונים במערכת באמצעות שימוש בסיסמה אחת או במספר מצומצם של סיסמאות נפוצות. בניגוד למתקפות Brute Force קלאסיות שמתמקדות בניסיון לפרוץ חשבון אחד עם מגוון רחב של סיסמאות, במתקפת Password Spray התוקף משתמש בסיסמה אחת כלפי הרבה חשבונות. מטרת שיטה זו היא להימנע מזיהוי המערכת כניסיון פריצה, מאחר שהיא מבצעת מספר מועט של ניסיונות כניסה לכל חשבון, ובכך לחמוק ממנגנון נעילת המשתמשים.

הכוונה הייתה לבדוק עד כמה קל יהיה לפורץ חיצוני להשיג גישה לחשבונות Microsoft 365 של הארגון. השתמשנו ברשימה של כתובות דוא"ל חשופות ברשת השייכות לדומיין הארגון ובשמות של עובדים שאספנו מלינקדאין מתוך התאמת תבנית הדוא"ל בארגון (שם פרטי ואות ראשונה של שם משפחה). אחת הסיסמאות שניסינו הייתה "Aa123456" – סיסמה פשוטה להחריד, אך נפוצה מאוד, אשר בדרך כלל עומדת במדיניות הארגונית לסיסמאות.

לאחר מספר ניסיונות, הצלחנו להיכנס לחשבון משתמש וגילינו כי לא מופעל על תיבת הדואר שלו אימות דו־שלבי (2FA). זה היה רגע של שביעות רצון, אך גם תהייה. כיצד נוכל להמשיך מפה להגיע לנכסים קריטיים נוספים בארגון. באמצעות החשבון הזה קיבלנו מעט גישה למידע רגיש של הארגון, אך יותר חשוב – את רשימת כל המשתמשים הקיימים בו.
עם הרשימה החדשה והרחבה שקיבלנו, החלטנו לבצע מתקפת Password Spray נוספת מול מערכת ה־365 עם אותה הסיסמה, וכמו שציפינו – פגענו בהצלחה במשתמשים נוספים.

נחמד אבל.. איך ממשיכים מכאן?

כיוון שפרטי ההתחברות שמשמשים את תיבות הדואר של העובדים הם גם פרטי ההתחברות בדומיין, החלטנו להמשיך ולבדוק את פתרון ה־VPN של הארגון. הנחנו שכל המשתמשים נדרשים להשתמש באימות דו־שלבי (2FA), אך היינו סקרנים לדעת אם כולם אכן הגדירו זאת בפועל.

ניסינו להתחבר לחשבון של כל אחד מהמשתמשים שפגענו בהם, וכפי שקיווינו לו, גילינו חשבון שמכיוון שהמשתמש שלו מעולם לא התחבר ל־VPN, לא הוגדר עבורו אימות דו־שלבי. הגדרנו את האימות בעצמנו לטלפון שלנו וכך הצלחנו להתחבר בהצלחה ולקבל גישה חיצונית מתמשכת לרשת הארגונית ולנכסי המידע השמורים בה.

הזדעזענו לגלות שמשתמשי שירות, כמו אלו המשמשים את החדרים הארגוניים ומשתמשי IoT למיניהם, יכולים גם הם להתחבר ל־VPN ללא אימות דו־שלבי בדיוק מאותה הסיבה.

איך הכול התחבר?

המסע שלנו החל במתקפת Password Spray פשוטה, אך הוביל לחשיפת פרצת אבטחה חמורה נוספת במערכת ה־VPN של הארגון. הגישה לחשבונות Microsoft 365 לא רק אפשרה לנו להיכנס לתיבות מייל עם מידע רגיש, אלא גם פתחה דלת להתחברות מוצלחת ל־VPN הארגוני. בכך, הוענקה לנו גישה בלתי מוגבלת לרשת הארגון ולנכסים הקריטיים הקיימים בה.

תובנות מומחי סייבר בכירים של IPV Security:

כדי למנוע תרחישים דומים בארגון שלכם, אנו ממליצים לבצע את הפעולות האלה:

  1. אכיפת אימות דו־שלבי (2FA) – יש לוודא שכלל המשתמשים, גם ב־365 וגם ב־VPN, נדרשים להתחבר עם מנגנון אימות דו־שלבי תוך הגבלות נוספות באמצעות אפשרויות ה־Conditional Access.
  2. חיזוק מדיניות סיסמאות יש לוודא שמשתמשים משתמשים בסיסמאות מורכבות יותר באמצעות בדיקות תקופתיות וחיזוק המדיניות ומודעות העובדים.
  3. ניטור ניסיונות התחברות  יש ליצור התרעות עבור ניסיונות התחברות מרובים מאותה כתובת IP.
  4. הגבלת גישת משתמשי שירות יש להסיר את האפשרות של משתמשי שירות להתחבר ל־VPN של הארגון.
  5. שימוש בפתרונות IAM – יש  להטמיע פתרון ניהול משתמשים (IAM) כמו Okta לדוגמה שיכול להגן על נכסי הארגון ב־Microsoft 365 מפני מתקפות Password Spray.
  6. יישום תהליכי אבטחת מידע סדירים – חשוב לבצע סריקות פגיעות תקופתיות ובדיקות חדירה כדי לוודא שאין פרצות אבטחה חדשות.
  7. ביצוע ביקורות סדירות – יש לקיים ביקורות אבטחה פנימיות וחיצוניות על בסיס קבוע כדי לוודא שהמדיניות והנהלים מיושמים כראוי.

לסיכום, במבדק חדירה זה התגלו ממצאים קריטיים לאותו הארגון, אך התובנות שהופקו ממנו חייבות לשמש כתזכורת לכמה חשוב להיות ערניים ולבצע בדיקות תקופתיות.

באמצעות נקיטת צעדים פרואקטיביים ויישום אמצעי האבטחה המומלצים, נוכל לצמצם באופן ניכר את הסיכון לפריצות ולהבטיח את בטיחות המידע הארגוני.

דוגמא זו ממחישה את ההבדל בין מבדקי החדירה האוטומטיים הנפוצים בשוק לבין מבדק המבוצע על ידי צוות מקצועי ומיומן של Ethical Hackers בעלי ניסיון רב שנים.

 

מעוניינים לבחון את האפשרות לביצוע סקר סיכונים? או אולי, מוכנות לאירוע כופרה!

לחצו כאן

 

לכל התייעצות בנוגע לאבטחת מידע ניתן לפנות לחברת IPV Security במייל info@ipvsecurity.com או במספר הטלפון 077-4447130. החברה מתמחה זה 19 שנה באבטחת מידע ועוסקת בסקרי סיכונים הנוגעים לביטחון מידע.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה