Araştırmacılar ayrıca dolandırıcılar tarafından kötüye kullanılan özelleştirme özelliğinin terk edilmesini de alkışlıyor
Uzaktan izleme ve yönetim (RMM) platformu ConnectWise Control’deki siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı, saldırganlara uzaktan erişim araçlarını kötüye kullanmak için güçlü bir saldırı vektörü sağladı.
Şimdi yama uygulanmış olan depolanan XSS kusuru, Temmuz ayında teknik destek dolandırıcılıklarının bir analizini yayınlayan Guardio Labs tarafından ifşa edildi.
Bir uzaktan erişim aracı kurulduktan sonra, saldırganlara kurbanın masaüstü bilgisayarını veya mobil cihazını uzaktan kontrol etme imkanı veriyor ve rapora göre “kalıcı, çoğunlukla tespit edilemez ve neredeyse tüm normal koruma biçimlerini atlıyor. Ve bu dolandırıcılar, üstün bir küstahlık gösterisinde, 2FA korumasını atlamak ve PayPal ile banka hesaplarının tam kontrolünü ele geçirmek için bu yeteneği bile kullanıyorlar”.
En son bilgisayar korsanlığı araçları haberlerinin devamını okuyun
ConnectWise XSS’yi belgeleyen yeni bir teknik yazı, saldırganların nasıl kolayca ücretsiz, anonim bir e-posta hesabına kaydolabileceklerini ve sahte kişisel bilgiler gönderebileceklerini açıklıyor. Bu onlara, ünlü markaları inandırıcı bir şekilde taklit etmek için – hiçbir kodlama becerisine ihtiyaç duymadan – özelleştirebilecekleri kurumsal düzeyde bir uzaktan erişim aracısı ve destek portalı sağlar.
Dolandırıcılar daha sonra, örneğin “hiç kaydolmadıkları bir hizmet için onlara sahte bir fatura göndererek” kurbanları arayıp kandırabilir ve onları acilen bir […] ‘fatura’ kodunu girmek için sahte geri ödeme hizmeti portalı (özel sessiz [remote access tool] kurulum),” diye yazdı Guardio Labs başkanı Nati Tal.
Tam kontrol
Depolanan XSS hatası, kaynağın temizlenmemesi nedeniyle ortaya çıktı. Tal, “Etiketler arasına bazı manipülasyonlarla kötü niyetli olarak eklediğimiz herhangi bir kod, web uygulaması bağlamında diğer herhangi bir kod gibi yürütülür – sanki hizmetin resmi sahibi tarafından yazılmış gibi,” diye açıklıyor Tal.
Tal, “Bu bağlamdan yürütülen bir komut dosyası, bir saldırgana web uygulamasının herhangi bir öğesi üzerinde tam kontrol sağlayarak sayfanın herhangi bir öğesini ve arka uç sunucularına bağlantıyı potansiyel olarak değiştirir” diye devam etti.
Dolandırıcılar ayrıca “barındırma hizmetinin kendisini kötüye kullanarak ConnectWise barındırma, kimlik ve sertifikasının kötü amaçlı kod sunmak veya deneme süresi sona erdikten sonra bile yönetici sayfalarına tam erişim elde etmek için kötüye kullanılmasına izin verebilir.”
‘Cesur hareket’
ConnectWise kısa bir süre önce, ziyaretçileri bu sosyal mühendislik tehdidine karşı uyarmak için uzaktan destek hizmetine önemli bir danışma belgesi ekledi. Ancak Guardio Labs, saldırganların bu uyarıyı kaldıran kodu da yürütebileceğini tespit etti.
ConnectWise, o zamandan beri deneme hesapları için özelleştirme özelliğini kaldırarak yanıt verdi – bu, dolandırıcıların güvenilir görünen Amazon veya Microsoft destek sayfaları oluşturmasını önleyecek, ancak yararlı bir özelliği ve ticari farklılaştırıcıyı kaybetme pahasına “cesur bir hareket”, diye belirtti Tal. “Bu konuyu kesinlikle ciddiye aldılar ki bu çok takdir ediliyor ve kesinlikle web’de gezinmeyi daha güvenli hale getirmeye ve dolandırıcıların hayatını biraz daha zorlaştırmaya yardımcı olacak” dedi.
Araştırmacı, “ConnectWise çok hızlı yanıt verdi ve sorunu hızla çözdü”, söz konusu etkisiz hale getirilmiş Guardio’nun yararlanma koduna temizleme ekleyerek ekledi.
Kullanıcıların 8 Ağustos 2022’de veya sonrasında yayınlanan v22.6 sürümüne güncelleme yapmaları önerilir.
BUNU DA BEĞENEBİLİRSİN Google Roulette: Geliştirici konsolu hilesi, Chromium tarayıcılarında XSS’yi tetikleyebilir