Güvenlik araştırmacıları, Microsoft’un UI Otomasyon çerçevesinden yararlanan ve potansiyel olarak milyonlarca Windows kullanıcısını savunmasız bırakan yeni bir saldırı yöntemini ortaya çıkardı.
Akamai güvenlik araştırmacısı Tomer Peled tarafından keşfedilen bu teknik, saldırganların uç nokta tespit ve yanıt (EDR) sistemlerini atlamasına olanak tanıyarak siber suçluların hassas verileri toplaması ve kullanıcı sistemlerini fark edilmeden manipüle etmesi için yeni yollar açıyor.
Kullanıcı Arayüzü Otomasyonu Güvenlik Açığı
Başlangıçta engelli kullanıcılara yardımcı olmak için tasarlanan UI Otomasyon çerçevesinin önemli bir güvenlik açığına sahip olduğu tespit edildi.
XP’den itibaren tüm Windows işletim sistemlerinde bulunan bu çerçeve, kullanıcı arayüzü öğeleriyle etkileşime geçmek için yükseltilmiş izinlere sahiptir.
Metin büyütme ve ekran okuma gibi zararsız amaçlara yönelik olsa da, kötü niyetli aktörler bu yetenekleri ele geçirebilir.
Araştırmacılar, bir kullanıcı UI Otomasyonu kullanan bir programı çalıştırması için kandırıldığında saldırganların şunları yapabileceğini gösterdi:
- Hassas verileri sızdırın
- Tarayıcıları kimlik avı web sitelerine yönlendirme
- WhatsApp ve Slack gibi popüler sohbet uygulamalarında mesaj okuyun ve yazın
- Web tarayıcılarından kredi kartı bilgilerini toplayın
- Komutları gizlice yürütün
Araştırmacıların UIA’yı (kötüye) kullanmayı düşündüğü en zarar verici yollardan biri kredi kartı bilgilerini çalmaktı.
“Kullanıcı çevrimiçi bir satıcıya girdikten sonra, saldırgan bir işleyici ayarlayarak kullanıcı arayüzü öğelerindeki değişiklikleri programlı bir şekilde dinleyebilir. Bir değişiklik yapıldığında (yani kredi kartı bilgileri girildiğinde), saldırgan daha sonra sızdırmak için kullanıcı arayüzü öğelerinden metni alabilir.
Mevcut EDR Çözümleri Tarafından Tespit Edilemez
Belki de en endişe verici olanı, bu tekniğe göre test edilen tüm EDR teknolojilerinin herhangi bir kötü amaçlı etkinlik tespit edememesidir. Güvenlik önlemlerinin bu görünmezliği, saldırı vektörünü potansiyel tehdit aktörleri açısından özellikle tehlikeli ve çekici kılmaktadır.
Bu güvenlik açığının XP’den bu yana tüm Windows sürümlerini etkileyen yaygın yapısı, milyonlarca kullanıcının risk altında olabileceği anlamına geliyor. Microsoft, UI Otomasyonuna bazı kısıtlamalar getirmiş olsa da, yetenekli saldırganlar yine de bu özelliklerden doğru yaklaşımla yararlanabilirler.
Güvenlik uzmanları sistem yöneticilerini ve kullanıcıları dikkatli olmaya çağırıyor. Potansiyel algılama yöntemleri olarak UIAutomationCore.dll kullanımının izlenmesi ve beklenmeyen UI Automation adlı yöneltmelerin izlenmesi önerilir.
Siber güvenlik topluluğu bu yeni tehditle boğuşurken, bu durum, yardımcı olmak için tasarlanan teknolojilerin bazen nasıl aleyhimize çevrilebileceğinin açık bir hatırlatıcısı oluyor. Artık bu gizli ve güçlü saldırı tekniğine karşı etkili karşı önlemler geliştirme yarışı devam ediyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin