Herhangi bir kullanıcı etkileşimi gerektirmeden kurumsal sistemleri tehlikeye atabilen, işçilerin dosyaları otomatik olarak önizlemesine ve işlemelerine yardımcı olmak için tasarlanmış üretkenlik özelliklerinden yararlanabilecek yeni bir siber saldırı sınıfı tanımlanmıştır.
Kullanıcıların kötü amaçlı ekleri veya bağlantılara tıklamasını gerektiren geleneksel kötü amaçlı yazılımların aksine, rendershock arka planda sessizce çalışan pasif yürütme yüzeylerinden yararlanır.
Bunlar arasında dosya önizleme bölmeleri, belge dizinleme hizmetleri, antivirüs tarayıcıları ve açık kullanıcı eylemi olmadan dosyaları otomatik olarak işleyen bulut senkronizasyon araçları bulunur.
Saldırı metodolojisi, güvenilmeyen dosyaları ayrıştıran, Windows Gezgini’ndeki bir belgenin üzerine gelme veya arama hizmetleri tarafından otomatik olarak endekslenen dosyaların potansiyel uzlaşma vektörlerine girmesi gibi rutin işlemleri değiştiren güvenilir sistem bileşenlerinden yararlanır.
Modern işletim sistemleri ve kurumsal araçlar, dosyaların önizleme veya endekslenmenin doğal olarak güvenli olduğu varsayımı altında oluşturulur, ancak rendershock bu güvenin nasıl silahlanabileceğini gösterir.
Beş aşamalı saldırı çerçevesi
Araştırmacılara göre Rendershock, yük tasarımıyla başlayan yapılandırılmış beş aşamalı bir işlemle çalışır. Saldırganlar, önizleme işleyicileri, meta veri çıkarıcıları veya güvenlik tarama motorları tarafından işlendiğinde tetiklenen kötü niyetli belgeler, resimler veya kısayollar oluşturur.
Bu yükler, harici referanslara sahip PDF’ler ve makro özellikli ofis belgeleri gibi temel formatlardan çok dilli dosyalar ve yazı tipi sömürüsü içeren gelişmiş tekniklere kadar değişir.
Teslimat mekanizması, Sistemlerin bunları otomatik olarak işleyeceği durumlara yerleştirerek geleneksel kullanıcı etkileşimini atlar – Yardım Masası portalları, paylaşılan posta kutuları, USB damlaları veya bulut işbirliği platformları aracılığıyla.
Saldırı, sistemler bu dosyalarla önizleme bölmeleri, antivirüs taramaları veya endeksleme hizmetleri aracılığıyla etkileşime girdiğinde etkinleşir.
Tetiklendikten sonra, Rendershock tespit edilmeden birden fazla hedefe ulaşabilir.
Çerçeve, DNS Beacons ve SMB kimlik doğrulama girişimleri yoluyla pasif keşif, NTLMV2 karma hasat yoluyla kimlik bilgisi hırsızlığı ve hatta önizleme tabanlı makro yürütme veya kötü niyetli kısayol tetikleyicileri aracılığıyla uzaktan kod yürütülmesini sağlar.
Saldırının gizliliği, meşru sistem davranışlarını kötüye kullanmasından geliyor.
Örneğin, bir fermuarlı arşive gömülü hazırlanmış bir LNK dosyası, Windows Gezgini’ni SMB üzerinden uzak bir simge yüklemeye, herhangi bir kullanıcı tıklaması veya dosya yürütülmeden kimlik doğrulama kimlik bilgilerini sızdırmaya çalışmasını tetikleyebilir.
Güvenlik ekipleri, explorer.exe, searchIndexer.exe veya Office önizleme işleyicileri gibi güvenilir sistem süreçleri aracılığıyla çalıştıkları için renderhock saldırılarını tespit etmek için önemli zorluklarla karşı karşıyadır.
Geleneksel güvenlik araçları genellikle bu pasif yürütme yüzeylerinde görünürlükten yoksundur ve bunlara potansiyel saldırı vektörlerinden ziyade iyi huylu üretkenlik özellikleri olarak görülür.
Çerçeve, modern kurumsal kolaylık özelliklerinin nasıl büyük ölçüde takılı kalan genişletilmiş bir saldırı yüzeyi oluşturduğunu göstermektedir.
Kuruluşlar artık dahili önizleme, senkronizasyon ve endeksleme işlemlerini, geleneksel kullanıcı tarafından başlatılan dosya işlemleriyle aynı güvenlik incelemesini gerektiren potansiyel yürütme yüzeyleri olarak ele almayı düşünmelidir.
Güvenlik uzmanları, önizleme özelliklerini devre dışı bırakmayı, giden KOBİ trafiğini kısıtlamayı, ofis yapılandırmalarının sertleşmesini ve beklenmedik ağ çağrıları yapan önizleme ile ilgili işlemler için davranışsal izleme uygulamasını önerir.
Rendershock’un ortaya çıkışı, üretkenlik ve güvenliğin dikkatlice dengelenmesi gereken kurumsal ortamlarda güven sınırlarını yeniden tanımlama ihtiyacını vurgulamaktadır.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.