מיקרוסופט הריצה AI וגילתה חורי אבטחה חמורים ב-bootloaders
החברה גילתה באמצעות Copilot כי בחלק מהבוט-לאודרים היה ניתן להשתלט על מחשבים ולהשאיר בהם את הנוזקות, גם אחרי החלפת הארד דיסק. ספוילר: החולשות נסגרו מאז ומיקרוסופט אומרת שחשוב לשתף מידע בקהילת הסייבר
ה-AI מצא מגוון פגעויות. אילוסטרציה: kevin ku, pexels
מיקרוסופט איתרה, באמצעות שימוש ב-AI, מספר פגיעויות במספר בוט-לואודרים (bootloaders) בקוד פתוח. מיקרוסופט אומרת כי הפגיעויות משפיעות על כל מערכות ההפעלה המסתמכות על UEFI וכן על מכשירי IoT. עוד אומרת החברה כי הפגיעויות שנמצאו במנהל האתחול GRUB2 (הנפוץ כמנהל אתחול בלינוקס) ובמנהלי האתחול U-boot ו-Barebox, עלולות לאפשר לגורמים זדוניים להשיג ולהריץ על המחשבים קוד שרירותי.
זהו לא האיום הראשון על מערכות מבוססות UEFI. לפני כחצי שנה, חוקרים ב-ESET גילו את "Bootkitty" (ובמילים שלנו: חתלתול האתחול), ככל הנראה ה-UEFI bootkit הראשון שמאיים ספציפית על מערכות לינוקס – וספציפית על גרסאות אובונטו. הנזק הפוטנציאלי ש-ESET הזהירה מפניו אז, היה עקיפה של אמצעי האבטחה של לינוקס והטמעת קוד זדוני שיהיה קשה לגלות או להסיר. נכון לאותו פירסום, זה היה איום UEFI שלראשונה יוצא מגזרת הווינדוס ב-12 השנים האחרונות ומאיים גם על משתמשי לינוקס.
בחקירה הנוכחית, מיקרוסופט נעזרה בכלי שלה, Security Copilot, והתמקדה בבדיקה במערכות קבצים בשל פוטנציאל הפגיעות הגבוה שלהן. גישה זו, אומרים במיקרוסופט, חסכה לצוות שלה כשבוע של זמן, ואלמלא ה-AI הוא היה מושקע בסקירה ידנית של התוכן. מיקרוסופט הריצה סדרה של פרומפטים שהובילו לגילוי פגיעות מסוג integer overflow, שבקצרה מאוד מאפשרת לאפס נתונים ולגרום לבעיות במערכת הקבצים.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
חשוב לשתף מידע
התשובה בקצרה: להראות את היכולות. מיקרוסופט אומרת כי המחקר שלה מדגים את היעילות המוגברת לתהליכי עבודה מרוכזים וליכולות משופרות שפתרונות בינה מלאכותית כמו Security Copilot יכולים לספק למגנים, חוקרי אבטחה ואנליסטים של מערכות-על-שבבים (SOC).
מיקרוסופט עוד מציינת כי יש חשיבות לשיתוף מידע בקהילת אבטחת הסייבר. גישה זו, מסבירה החברה, מבטיחה שהיתרונות של בינה מלאכותית בגילוי מהיר של פגיעויות, תיקון של פעולות אבטחה והאצה שלהן, יוכלו לסייע בהתמודדות יעילה יותר עם הצד השני של המטבע: ניסיונות של גורמים זדוניים להשתמש בבינה מלאכותית להרחיב את יכולות התקיפה שלהם.
השימוש של תוקפים בטכנולוגיות של בינה מלאכותית מדאיג את קהילת אבטחת המידע. בדוח שפירסמה גוגל בחודש נובמבר האחרון, כתבה החברה (אם נתרגם חופשי) שנהיה קל יותר להיות האקר וכלי הפריצה הפכו לנגישים יותר. "ארגונים ימשיכו להתמודד עם עולם שבו חסמי הכניסה לפושעי סייבר ולמדינות בעלי מיומנות נמוכה יותר, הולכים ונעלמים", נכתב בדוח.
על פי אותו דוח, ככל שיותר כלים, ערכות פישינג ומשאבי as-a-service יכללו יכולות מתקדמות, תוקפים פחות מיומנים וגורמים חדשים בעולמות פעילות הסייבר הזדוני יזכו להזדמנויות לבצע מתקפות ביעילות ובמיומנות רבה יותר, מרפרוף על רשתות (web skimming) ועד עקיפת אימות רב-שלבי (MFA).
שליטה מלאה במחשב – גם אחרי החלפת הארד דיסק
כמה זה מסוכן? במיקרוסופט אומרים שכדי לנצל את הפגיעויות ב-U-boot או ב-Barebox, הגורמים הזדוניים יצטרכו לקבל גישה פיזית למכשיר הפגיע. עם זאת, במקרה של GRUB2, ניתן לנצל את הפגיעויות כדי לעקוף Secure Boot ולהתקין bootkit חשאיים או לעקוף מנגנוני אבטחה אחרים, כגון BitLocker – המסך שמבקש מכם סיסמה עוד לפני שהממשק של מערכת ההפעלה עלה.
במיקרוסופט מזהירים: ההשלכות של התקנת bootkit כאלה הן משמעותיות, שכן הן יכולות להעניק לגורמים זדוניים שליטה מלאה במכשיר, ולאפשר להם לשלוט בתהליך האתחול ובמערכת ההפעלה, לסכן מכשירים נוספים ברשת ולבצע פעילויות זדוניות אחרות. הדבר עלול גם לאפשר לנוזקה עקשנית להישאר גם לאחר התקנה מחדש של מערכת ההפעלה או החלפת כונן קשיח.
החדשות הטובות – מיקרוסופט דיווחה על החולשות למי שמתחזקים את GRUB2, U-boot ו-Barebox, וכולם שחררו עדכוני אבטחה כבר בחודש פברואר האחרון. מיקרוסופט ממליצה לכולם לבדוק שהמערכות שלהם מעודכנות.
