اتوماسیون ویندوز 11 به راحتی هک می شود

در چند سال گذشته، خودکار کردن وظایف معمول آسان تر شده است. با نرم‌افزار اتوماسیون، می‌توانید ساعات کاری خود را در صفحه‌گسترده ردیابی کنید یا زمانی که شخصی در ایمیلی از شما نام می‌برد، به‌طور خودکار موردی را در فهرست کارهای خود ایجاد کنید. ابزارک ها می توانند زندگی شما را آسان تر کنند، اما خطراتی نیز به همراه دارند.

یک محقق امنیتی راهی برای ربودن ابزار اتوماسیون نرم افزاری مایکروسافت برای ارسال باج افزار به ماشین های متصل و سرقت داده ها از دستگاه ها پیدا کرد.

مایکل بارگوری، بنیانگذار و مدیر ارشد فناوری Zenity، شرکت امنیتی پشت این حمله، گفت: «این حمله از ابزارهای اتوماسیون همانطور که در نظر گرفته شده است استفاده می کند. اما به جای ارسال شکایت، می توان از آن برای استقرار بدافزار استفاده کرد.

برگری گفت: «تحقیقات من نشان داده است که شما به عنوان یک مهاجم به راحتی می توانید از تمام این زیرساخت ها برای انجام دقیقا همان کاری که قرار است انجام دهد استفاده کنید. شما از آن برای اجرای تحویل های خود به جای تحویل های شرکتی استفاده می کنید.

این حمله بر اساس Power Automate مایکروسافت است. یک ابزار اتوماسیون که در ویندوز 11 تعبیه شده است. Power Automate از نوعی اتوماسیون فرآیند روباتیک استفاده می‌کند که به نام RPA نیز شناخته می‌شود، که در آن رایانه از اقدامات انسان برای تکمیل وظایف تقلید می‌کند. اگر می خواهید هر بار که فید RSS به روز می شود مطلع شوید، می توانید فرآیند RPA خود را ایجاد کنید تا این اتفاق بیفتد. هزاران ابزار اتوماسیون از این دست وجود دارد و نرم افزار مایکروسافت می تواند Outlook، Teams، Dropbox و برنامه های دیگر را به هم متصل کند.

اتوماسیون ویندوز 11

این نرم‌افزار بخشی از جنبش گسترده‌تر کم‌کد/بدون کد است، که هدف آن ایجاد ابزارهایی است که مردم می‌توانند از آنها برای ساختن چیزهایی بدون دانستن نحوه کدنویسی استفاده کنند.

تحقیقات Bargura با موقعیتی شروع می شود که در آن یک هکر قبلاً به رایانه شخصی دسترسی پیدا کرده است. از طریق فیشینگ یا یک تهدید داخلی.

هنگامی که یک مهاجم به رایانه دسترسی پیدا می کند، باید چند مرحله اضافی را برای سوء استفاده از تنظیمات RPA انجام دهد. اما آنها نسبتا ساده هستند.

حتما بخوانید:
جوراب هوشمند نسل سوم Owlet برای جمعه سیاه 75 دلار وام می دهد

برگری که کل فرآیند را Power Pwn می نامد و آن را در GitHub مستند می کند، گفت: «هک زیادی در کار نیست. یک مهاجم ابتدا باید یک حساب ابری مایکروسافت که به عنوان مستأجر شناخته می شود راه اندازی کند و آن را به گونه ای پیکربندی کند که کنترل اداری بر روی ماشین های اختصاص داده شده به آن داشته باشد. در اصل، این به یک حساب مخرب اجازه می دهد تا فرآیندهای RPA را در دستگاه کاربر نهایی اجرا کند. در دستگاهی که قبلاً در معرض خطر قرار گرفته بود، تنها کاری که هکر باید انجام دهد این است که با استفاده از یک فرمان ساده خط فرمان به نام غیرفعال کردن گزارش، آن را به یک حساب اداری جدید اختصاص دهد.

برگری گفت: «وقتی این کار را انجام دادید، یک URL دریافت می‌کنید که به شما به عنوان یک مهاجم اجازه می‌دهد یک بار به دستگاه ارسال کنید. قبل از سخنرانی خود در DefCon، او چندین دمو ایجاد کرد که نشان می داد چگونه می توان از Power Automate برای تحویل باج افزار به ماشین های آلوده استفاده کرد. نمایش های دیگر نشان می دهد که چگونه یک مهاجم می تواند توکن های احراز هویت را از یک ماشین بدزدد.

وی گفت: شما می توانید از طریق این تونل امن اطلاعات خارج از شبکه های شرکتی را استخراج کنید، می توانید کی لاگر ایجاد کنید یا اطلاعات را از کلیپ بورد بگیرید و مرورگر را کنترل کنید.

یکی از سخنگویان مایکروسافت پتانسیل این حمله را کم اهمیت جلوه داد و خاطرنشان کرد که مهاجم باید قبل از استفاده از حساب کاربری به آن دسترسی داشته باشد. هیچ مکانیزمی وجود ندارد که با استفاده از این روش، یک دستگاه کاملاً به روز شده با محافظت آنتی ویروس از راه دور در معرض خطر قرار گیرد. این تکنیک بر یک سناریوی فرضی متکی است که در آن سیستم قبلاً در معرض خطر است یا می‌توان با استفاده از تکنیک‌های موجود مانند مهندسی اجتماعی، هم برای حمله اولیه و هم برای حملات بعدی شبکه، در معرض خطر قرار گرفت.

حتما بخوانید:
واقعاً با لباس بچگانه چه اتفاقی می‌افتد

به گفته بارگورا، شناسایی این نوع حمله می تواند دشوار باشد. زیرا در همه چیز از سیستم ها و فرآیندهای رسمی استفاده می کند. اگر به معماری فکر می کنید، این یک ابزار اجرای کد از راه دور است که توسط مایکروسافت ایجاد شده و همیشه توسط مایکروسافت امضا شده است.

ویندوز 11

برگوری گفت که قبل از صحبت در DefCon، تیم مایکروسافت با او تماس گرفتند و اشاره کردند که مدیران شبکه های تجاری می توانند با “افزودن یک ورودی رجیستری” به دستگاه های خود دسترسی به ابزارهای Power Automate را محدود کنند. این فرآیند کنترل‌هایی را بر روی انواع حساب‌هایی که می‌توانند به Power Automate وارد شوند اعمال می‌کند. بنابراین امکان سوء استفاده از سیستم را کاهش می دهد.

برگوری گفت، با این حال، برای موفقیت آمیز بودن این حرکت، متکی به تیم های امنیتی است که سیاست های روشن و منسجمی در سازمان خود داشته باشند، که همیشه اینطور نیست.

در حالی که محبوبیت ابزارهای RPA در حال افزایش است، قبلاً حملات واقعی برای سوء استفاده از پلتفرم‌ها طراحی شده‌اند. در اوایل سال 2020، سرویس امنیتی مایکروسافت شش گروه هکر از جمله یک APT چینی را در شبکه این شرکت کشف کرد. یک گروه هکر از سیستم های خودکار برای حذف داده ها استفاده کرد.

مایکروسافت در گزارش حادثه نوشت: “در یک اقدام غیرمعمول، مهاجم از سیستم‌های موجود مشتری، از جمله eDiscovery، Compliance Search و Microsoft Flow برای سرقت خودکار نتایج جستجو استفاده کرد.”


ادامه مطلب


به گفته بارگوری، زمانی که خطرات بالقوه برنامه های کم یا بدون کد کشف می شود، شرکت ها ممکن است نیاز به تجدید نظر در سیاست های خود داشته باشند.

او گفت: «مهمترین کار این است که عوامل حزب جمهوری اسلامی چه می کنند، نظارت شود». شما واقعا نمی توانید انتظار داشته باشید که هر کاربر تجاری در یک سازمان قابلیت هایی را ارائه دهد که تنها چند ماه پیش در اختیار توسعه دهندگان قرار داشت.

منبع: وایرد