Sıradan işleri otomatikleştirme işler son birkaç yılda daha kolay hale geldi. Sürükle ve bırak otomasyon yazılımını kullanarak, çalışma saatlerinizi bir elektronik tabloda izleyebilir veya birisi bir e-postada sizden bahsettiğinde otomatik olarak bir yapılacaklar listesi öğesi oluşturabilirsiniz. Araçlar hayatınızı kolaylaştırabilir, ancak risk taşırlar.
Bir güvenlik araştırmacısı, bağlı makinelere fidye yazılımı göndermek ve cihazlardan veri çalmak için Microsoft’un yazılım otomasyon aracını ele geçirmenin bir yolunu buldu. Güvenlik firması Zenity’nin kurucu ortağı ve CTO’su Michael Bargury, saldırının tasarlandığı gibi otomasyon aracını kullandığını, ancak meşru eylemler göndermek yerine kötü amaçlı yazılım dağıtmak için kullanılabileceğini söylüyor.
Bargury, “Araştırmam, bir saldırgan olarak, tam olarak yapılması gerekeni yapmak için tüm bu altyapıdan çok kolay yararlanabileceğinizi gösterdi” diyor. “Sen [then] kurumsal yükler yerine kendi yüklerinizi çalıştırmak için kullanın.” Araştırmacı, geçen ay DefCon hacker konferansında çalışmalarını belgeledi ve o zamandan beri kodu yayınladı.
Saldırı, Microsoft’un Windows 11’de yerleşik olarak bulunan bir otomasyon aracı olan Power Automate’e dayanıyor. Power Automate, bir bilgisayarın görevleri tamamlamak için bir insanın eylemlerini taklit ettiği, RPA olarak da bilinen bir tür robotik süreç otomasyonu kullanıyor. RSS beslemesi her güncellendiğinde bildirim almak istiyorsanız, bunun gerçekleşmesi için özel bir RPA işlemi oluşturabilirsiniz. Bu otomasyonlardan binlercesi mevcuttur ve Microsoft’un yazılımı Outlook, Teams, Dropbox ve diğer uygulamaları birbirine bağlayabilir.
Yazılım, insanların herhangi bir kodlama bilgisine sahip olmadan bir şeyler yaratmak için kullanabilecekleri araçlar yaratmayı amaçlayan daha geniş bir düşük kodlu/kodsuz hareketin parçasıdır. Bargury, “Artık her iş kullanıcısı, geliştiricinin sahip olduğu güce sahip” diyor. Şirketi, düşük kodlu/kodsuz uygulamaların güvenliğini sağlamaya yardımcı olmak için var.
Bargury’nin araştırması, bir bilgisayar korsanının, kimlik avı veya içeriden bir tehdit yoluyla birinin bilgisayarına zaten erişim kazandığı bir konumdan başlıyor. (İşletmelerdeki bilgisayarlar, örneğin yama ve güncelleme eksikliğinden dolayı genellikle güvensiz olsa da, bu noktadan başlamak, bir saldırganın zaten bir şirket ağına girmiş olacağı anlamına gelir.)
Saldırganın bir bilgisayara erişimi olduğunda, RPA kurulumunu kötüye kullanmak için birkaç ek adım daha atması gerekir, ancak bunlar nispeten basittir. Tüm süreci Power Pwn olarak adlandıran ve bunu GitHub’da belgeleyen Bargury, “Burada çok fazla bilgisayar korsanlığı yok” diyor.
İlk olarak, bir saldırganın kiracı olarak bilinen bir Microsoft bulut hesabı oluşturması ve kendisine atanmış tüm makineler üzerinde yönetici denetimlerine sahip olacak şekilde ayarlaması gerekir. Bu, esasen kötü niyetli hesabın bir son kullanıcının cihazında RPA işlemlerini çalıştırmasını sağlar. Daha önce güvenliği ihlal edilmiş makinede, bir saldırının şimdi yapması gereken tek şey onu yeni yönetici hesabına atamak; bu, sessiz kayıt adı verilen basit bir komut satırı kullanılarak yapılır.
Bargury, “Bunu yaptığınızda, bir saldırgan olarak makineye yük göndermenize izin verecek bir URL alacaksınız” diyor. DefCon konuşmasının öncesinde, fidye yazılımlarını etkilenen makinelere göndermek için Power Automate’i kullanmanın nasıl mümkün olduğunu gösteren birden fazla demo hazırladı. Diğer demolar, bir saldırganın bir makineden kimlik doğrulama belirteçlerini nasıl çalabileceğini gösterir. Bargury, “Bu güvenilir tünel aracılığıyla verileri kurumsal ağların dışına sızdırabilir, tuş kaydediciler oluşturabilir, panodan bilgi alabilir, tarayıcıyı kontrol edebilirsiniz” diyor.