יום שני, 26 באוקטובר 2009

סנטריגו מגלה פרצה משמעותית של חשיפת סיסמאות ב-Microsoft SQL Server

בוקר טוב,

סנטריגו הודיעה כי חשפה פרצה משמעותית ב-Microsoft SQL Server, אשר מאפשרת לכל משתמש עם זכויות גישה אדמיניסטרטיביות לראות סיסמאות של משתמשים אחרים, או את הסיסמאות של יישומים הניגשים לשרת באימות SQL Server.

"במהלך מחקר אבטחה שוטף שלנו לתוך מסדי נתונים SQL Server, הבחין אחד מחוקרינו כי סיסמאותיו האישיות נראו בבירור כזיכרון ב-SQL Server", אמר סלביק מרקוביץ', ה-CTO של סנטריגו. "נכון שניצול פירצה זאת דורש גישה אדמיניסטרטיבית, אך במקרים רבים יש למשתמשים רבים גישה שכזו. אפילו אם האדם אמין לחלוטין, אסור שיוכל לראות אי פעם סיסמה עדכנית של משתמש אחר. בנוסף, הסיכון של האקר המקבל גישה אדמיניסטרטיבית לשרת קיימת תמיד, והחשיפה של סיסמאות משתמשים נוספות עלולה להגביר משמעותית את הסיכון שיוכל לחדור למערכות אחרות".

בעוד אדמיניסטרטורים יכולים לבצע בדרך כלל Reset של סיסמת משתמש אם נדרש, הרי תהליכים מומלצים באבטחה לא מאפשרים אפילו לאדמיניסטרטורים לראות את הסיסמאות העדכניות של משתמשים אחרים.
בנוסף, יישומים משקיעים רבות בערפול סיסמאות כאשר הן נדרשות בתוך התוכנה, ואסור שיאחסנו סיסמאות כ-"טקסט גלוי", בזיכרון (כפי שקורה בפרצה זאת) או בדיסק. זו אפילו בעיה גדולה יותר, מאחר שארגונים רבים חייבים לציית לתקנים רבים ולרגולציות הדורשות הפרדה קפדנית של תפקידים, מה שמופר בבירור על-ידי שיתוף סיסמאות משתמשים עם האדמיניסטרטורים.

לפרטים נוספים:
http://www.sentrigo.com/passwords
http://www.thepeople.co.il/_DailyMaily/ItemClean.asp?ArticleID=28889&Vol=1024&SearchParam=&CategoryID=72
הוסף רשומת תגובה