Herhangi bir kullanıcı etkileşimi gerektirmeden kötü niyetli yükler yürütmek için modern işletim sistemlerindeki pasif dosya önizlemesini ve endeksleme davranışlarını kullanan Rendershock adlı gelişmiş bir sıfır tıkalı saldırı metodolojisi.
Kullanıcıların kötü amaçlı bağlantıları tıklatan veya enfekte ekleri açan geleneksel kimlik avı kampanyalarının aksine, rendershock, meşru arka plan süreçleri yoluyla uzlaşma elde etmek için yerleşik sistem otomasyon özelliklerinden yararlanır.
Key Takeaways
1. RenderShock attacks exploit file preview systems without requiring user interaction.
2. Affects Windows Explorer, macOS Quick Look, and automatic file indexing services.
3. Uses malicious LNK files, PDFs, and Office documents to trigger NTLM theft and code execution.
4. Enables credential harvesting and remote access; requires disabling preview panes and blocking SMB traffic.
Rendershock 0 tıklayın Güvenlik Açığı
Cyfirma, Rendershock’un açık kullanıcı eylemi olmadan dosya içeriğine otomatik olarak etkileşime giren birden fazla pasif yürütme yüzeyini hedeflediğini bildirdi.
Güvenlik açığı, Windows Explorer Önizleme Panını, MacOS Hızlı Bakış, E -posta İstemci Önizleme Sistemleri ve Windows Arama Dizini ve Spotlight dahil Dosya Dizinini Etkiler.
Bu sistemler dosyaları bellekte işler, genellikle kötü amaçlı kod yürütmeyi tetikleyebilen kayıtlı önizleme işleyicilerini çağırır.
Saldırı metodolojisi, belge meta verilerine kötü niyetli mantığı yerleştirerek, NTLM kimlik bilgisi hasadı için UNC yollarını kullanarak ve önizleme oluşturma sırasında ofis makro yürütülmesinden yararlanarak önizleme alt sistemlerinden yararlanır.
Örneğin, harici referanslara sahip hazırlanmış bir PDF, önizleme işleyicileri tarafından işlendiğinde giden SMB bağlantılarını tetikleyebilir ve potansiyel olarak NTLMV2 karmalarını saldırgan kontrollü sunuculara sızdırabilir.
Rendershock hem temel hem de gelişmiş yük tekniklerini kullanır. Temel yükler, Windows Explorer’ın klasörlere göz atarken NTLM kimlik doğrulamasını başlatmasına neden olan UNC simge yollarına sahip kötü amaçlı LNK dosyalarını ve önizleme sırasında uzaktan kaynakları getiren etkin alan enjeksiyonlarını içeren RTF dosyaları içerir.
Gelişmiş teknikler, birden fazla ayrıştırıcıyı, makro olmadan ofis belgelerinde uzaktan şablon enjeksiyonunu ve görüntülerde zehirlenmiş ICC renk profillerini karıştıran çok dilli dosya formatlarını içerir.
Tipik bir saldırı zinciri, uzak bir simge yoluna (\\ saldırgan-ip lup icon.ico) sahip kötü niyetli bir .lnk dosyası oluşturmayı, bir fermuarlı arşive gömülmesini ve yardım masası portalları veya paylaşılan dizinler aracılığıyla teslim etmeyi içerir.
Kullanıcılar ZIP içeriğini önizlediğinde, Windows uzak simgeyi otomatik olarak yüklemeye çalışır ve yanıtlayıcı gibi araçlar kullanılarak ele geçirilebilen KOBİ kimlik doğrulama isteklerini tetikler:
Hafifletme
Güvenlik açığı, pasif işaretler aracılığıyla keşif, NTLMV2 hasadı yoluyla kimlik bilgisi hırsızlığı ve önizleme tabanlı makro yürütme yoluyla uzaktan kod yürütülmesi de dahil olmak üzere birden fazla saldırı vektörünü mümkün kılar.
Saldırganlar, güvenilir Autostart dizinlerine kötü niyetli .desktop dosyalarını veya lansmanları yerleştirerek kalıcılık elde edebilir ve hasat edilen kimlik bilgilerini kullanarak yanal hareket gerçekleştirebilir.
Güvenlik ekipleri, Windows Gezgini’ndeki önizleme bölmelerini devre dışı bırakma ve macOS’a hızlı bir şekilde bakmak, Giden SMB trafiğini (TCP 445) güvenmeyen ağlara engelleme ve grup politikası aracılığıyla makro engellemeyi uygulamak gibi kapsamlı savunmalar uygulamalıdır.
Kuruluşlar ayrıca olağandışı ağ etkinliğini Explorer.exe, searchIndexer.exe ve Quicklookd gibi önizleme ile ilgili süreçlerden algılamak için davranışsal izleme kullanmalıdır.
Rendershock çerçevesi, modern bilgi işlem ortamlarının kullanıcı rahatlığına vurgu yapmasının, etkileşim gerektirmeyen sessiz yürütme yolları oluşturduğunu, dosya tabanlı saldırılarla ilgili geleneksel güvenlik varsayımlarını temel olarak zorlayan ve sistemlerin pasif dosya işlemeyi nasıl ele aldığını yeniden değerlendirmeyi gösteriyor.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi