Uç Nokta için Microsoft Defender’ın bulut iletişimi, kimlik doğrulamayı atlamak, komutlara müdahale etmek ve sonuçları yanıltıcı hale getirmek için kötüye kullanılabilir; bu da saldırganların olay müdahalesini rayından çıkarmasına ve analistleri yanıltmasına olanak tanır.
Son araştırmalar, birden fazla arka uç uç noktasının, belirteçleri etkili bir şekilde doğrulamadan istekleri kabul ettiğini, bir makine kimliği ve kiracı kimliği biliniyorsa, kimlik doğrulamasız manipülasyona olanak sağladığını gösteriyor.
Microsoft’un sorunları düşük önem derecesine sahip olarak sınıflandırdığı ve düzeltmelerin belirsizliğini koruduğu bildirildi.
Defender Bulut Trafiği Zayıflıkları Komuta Müdahalesine Olanak Sağlıyor
Defender for Endpoint aracısı (MsSense.exe ve SenseIR.exe) üzerinde yapılan araştırma, TLS sabitlemesinin analiz için atlanması durumunda, aracının ağ trafiğinin sunucu tarafı doğrulamasının zayıf olduğunu ortaya koyuyor.
Aracı, izolasyon komutu, adli toplama komutu, tarama komutu ve olay müdahale komutu gibi komutlar için düzenli olarak konuma özgü bir /edr/commands/cnc uç noktasını yoklar.
İstekler Yetkilendirme ve Msadeviceticket başlıklarını içerse de arka uç bunları yok sayar.
Ana bilgisayardaki düşük ayrıcalıklı kullanıcılar tarafından okunabilen makine kimliğini ve kiracı kimliği değerlerini bilen bir saldırgan, bekleyen komutları almak ve bunları ilk önce tüketmek için aracıyla yarışabilir.
Meşru temsilci daha sonra hiçbir şey almaz. Saldırgan ayrıca döndürülen sasuri değerleri, kirletici kanıtlar veya sonuçların yanlış raporlanması yoluyla sahte telemetri veya dosyaları Azure Blob depolama alanına yükleyebilir.
Buna paralel bir kusur, Canlı Yanıt ve Otomatik Araştırmayı yöneten /senseir/v1/actions/’ı etkiliyor.
Arka uç yine kimlik doğrulamayı doğru şekilde uygulama konusunda başarısız oluyor. Saldırganlar yalnızca makine kimliğini kullanarak geçerli bir CloudLR belirteci elde edebilir, ardından eylemler isteyebilir, ilişkili Azure Blob URL’lerini getirebilir ve hazırlanmış verileri yükleyebilir.
Eylemler Microsoft Bond kullanılarak kodlandığından, saldırganlar meşru eylem yüklerini yakalayabilir ve bunları değiştirebilir.
Bu, bir cihazı çevrimiçi bırakırken “Zaten yalıtılmış” bildirimi yapmak veya analistlerin açabileceği benzer kötü amaçlı dosyalar içeren araştırma paketlerini tohumlamak gibi yanıltıcı operasyonel etkilere olanak tanır.
Ekim ayında gözlemlenen kısıtlama davranışı, bazı arka uç düzenlemelerinin yapıldığını gösteriyor ancak temel zayıflıklar devam ediyor.
Saldırganlar, yalnızca kayıt defterinden herhangi bir kullanıcının erişebildiği kuruluş kimliğini kullanarak kayıt uç noktasından IR hariç tutmaları sorgulayabilir.
Bu istisnalar algılamayı devre dışı bırakmaz ancak otomatik ve manuel IR davranışını şekillendirerek müdahale ekiplerinin nerede harekete geçmeyeceği ortaya çıkar.
Ayrıca, kimlik doğrulaması yapılmadan /edr/commands/cnc çağrısı, RegistryMonitoringConfiguration, sürücü erişim listeleri ve saldırı yüzeyi azaltma verilerini içeren yaklaşık 8 MB’lık bir yapılandırma paketi döndürebilir.
Açıkça kiracıya özel olmasa da kurallara ve kör noktalara ilişkin değerli bilgiler sunar.
Güvenliği ihlal edilmiş bir ana bilgisayarda daha önce bir araştırma paketi oluşturulmuşsa, herhangi bir kullanıcı tarafından okunabilir durumda kalabilir ve otomatik çalıştırmaları, yüklü programları, ağ bağlantılarını ve daha fazlasını düşman keşifleri için açığa çıkarabilir.
Saldırılar öncelikle, bir saldırganın ana bilgisayardan makine ve kiracı tanımlayıcılarını toplayıp bulut kontrol düzlemine dönebildiği uzlaşma sonrası uygulanır.
En zarar verici sonuçlar arasında izolasyonun sessizce yenilgiye uğratılması, delillerin zehirlenmesi ve analistlerin bubi tuzaklı soruşturma dosyalarıyla kandırılması yer alıyor.
Savunmacılar beklenmedik CNC/eylem yoklama modellerini izlemeli, izolasyon durumlarının ana bilgisayar gerçekliğiyle eşleştiğini doğrulamalı, tanımlayıcılara yerel erişimi kısıtlamalı ve Defender iş akışlarına bağlı şüpheli Azure Blob yüklemeleri için algılamaları ayarlamalıdır.
Defender uç noktalarına erişimi güvenilir çıkış yollarıyla kısıtlayan ağ kontrolleri, yarış koşullarını azaltabilir.
Microsoft, arka uçta belirteç doğrulamayı zorunlu kılana ve belirteç verilmesini sertleştirene kadar, olaya müdahale edenlerin bulut komut kanallarına itiraz edilebileceğini varsayması ve sonuçları bant dışında doğrulayabilmesi gerekir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.