اتوماسیون ویندوز 11 به راحتی هک می شود


در چند سال گذشته، خودکار کردن وظایف معمول آسان تر شده است. با نرم‌افزار اتوماسیون، می‌توانید زمان کار خود را در صفحه‌گسترده ردیابی کنید یا زمانی که شخصی آن را در ایمیلی برای شما ذکر می‌کند، به‌طور خودکار یک مورد فهرست کارها ایجاد کنید. ابزارک ها می توانند زندگی شما را آسان تر کنند، اما خطراتی نیز به همراه دارند

یک محقق امنیتی راهی برای ربودن ابزار اتوماسیون نرم افزاری مایکروسافت برای ارسال باج افزار به ماشین های متصل و سرقت داده ها از دستگاه ها پیدا کرده است.

مایکل برگوری، بنیانگذار و مدیر ارشد فناوری Zenity، شرکت امنیتی پشت این حمله، گفت: «این حمله از ابزارهای اتوماسیون طراحی شده استفاده می کند؛ اما به جای ارسال اقدامات قانونی، می توان از آن برای استقرار بدافزار استفاده کرد.

برغوری گفت: “تحقیقات من نشان می دهد که شما به عنوان یک مهاجم به راحتی می توانید از همه این زیرساخت ها برای انجام دقیقاً همان کاری که قرار است انجام دهد استفاده کنید.” شما از آن برای اجرای فاکتورهای خود به جای فاکتورهای شرکتی استفاده می کنید.

این حمله بر اساس Power Automate مایکروسافت است. یک ابزار اتوماسیون تعبیه شده در ویندوز 11. Power Automate از نوعی اتوماسیون فرآیند روباتیک استفاده می کند که به نام RPA نیز شناخته می شود، که در آن یک کامپیوتر از اقدامات انسان برای تکمیل وظایف تقلید می کند. اگر می‌خواهید هر بار که فید RSS به‌روزرسانی می‌شود، یک اعلان دریافت کنید، می‌توانید یک فرآیند RPA سفارشی برای این کار ایجاد کنید. هزاران مورد از این اتوماسیون ها وجود دارد و نرم افزار مایکروسافت می تواند Outlook، Teams، Dropbox و سایر برنامه ها را به هم متصل کند.

اتوماسیون ویندوز 11

این نرم‌افزار بخشی از یک جنبش گسترده‌تر کم‌کد/بدون کد است که هدف آن ایجاد ابزارهایی است که مردم می‌توانند از آنها برای ساختن چیزهایی بدون دانستن نحوه کدنویسی استفاده کنند.

تحقیقات برگوری با موقعیتی آغاز می شود که یک هکر قبلاً به رایانه شخصی دسترسی پیدا کرده است. یا از طریق فیشینگ یا تهدیدات داخلی.

هنگامی که یک مهاجم به رایانه دسترسی پیدا می کند، باید چند مرحله اضافی را برای سوء استفاده از تنظیمات RPA انجام دهد. اما آنها نسبتا آسان هستند.

حتما بخوانید:
"این همه یک نما": کشمیری ها در انتخابات سازمان یافته رأی می دهند

بارگوری که کل فرآیند را Power Pwn می نامد و در حال مستندسازی آن در GitHub است، می گوید: «هک زیادی در کار نیست. مهاجم ابتدا باید یک حساب ابری مایکروسافت که به عنوان مستاجر شناخته می‌شود راه‌اندازی کند و آن را به گونه‌ای پیکربندی کند که کنترل اداری روی ماشین‌های اختصاص داده شده داشته باشد. این اساساً به حساب مخرب اجازه می دهد تا فرآیند RPA را در دستگاه کاربر نهایی اجرا کند. در دستگاهی که قبلاً در معرض خطر قرار گرفته است، تنها کاری که یک هکر باید انجام دهد این است که با استفاده از یک دستور خط فرمان ساده به نام غیرفعال کردن ثبت نام، یک حساب اداری جدید اختصاص دهد.

برغوری گفت: «وقتی این کار را انجام دادید، یک URL دریافت می‌کنید که به شما امکان می‌دهد محموله را به عنوان یک مهاجم به دستگاه ارسال کنید. قبل از سخنرانی خود در DefCon، او چندین دمو ایجاد کرد که نشان می داد چگونه می توان از Power Automate برای تحویل باج افزار به ماشین های آلوده استفاده کرد. دموهای دیگر نشان می‌دهند که چگونه یک مهاجم می‌تواند توکن‌های احراز هویت را از یک ماشین بدزدد.

وی گفت: شما می توانید از طریق این تونل قابل اعتماد، داده های خارج از شبکه شرکت را استخراج کنید، می توانید کی لاگر ایجاد کنید یا اطلاعات را از کلیپ بورد بگیرید و مرورگرها را کنترل کنید.

یکی از سخنگویان مایکروسافت احتمال این حمله را کم اهمیت جلوه داد و خاطرنشان کرد که مهاجم باید قبل از استفاده از آن به یک حساب کاربری دسترسی داشته باشد. هیچ راهی وجود ندارد که یک دستگاه کاملاً به روز شده با محافظت از آنتی ویروس از راه دور با استفاده از این تکنیک به خطر بیفتد. این استراتژی بر یک سناریوی فرضی متکی است که در آن یک سیستم از قبل به خطر افتاده یا برای حمله اولیه و هر حمله شبکه بعدی با استفاده از تکنیک‌های موجود مانند مهندسی اجتماعی مستعد به خطر افتادن است.

حتما بخوانید:
ده چیزی که درباره زمین نمی دانید

به گفته برگوری، تشخیص چنین حملاتی می تواند دشوار باشد. زیرا در سراسر آن از سیستم ها و فرآیندهای رسمی استفاده می کند. وقتی به معماری فکر می کنید، این یک ابزار اجرای کد از راه دور است که توسط مایکروسافت ساخته شده و توسط مایکروسافت امضا شده است.

ویندوز 11

برگوری گفت که قبل از صحبت‌هایش در DefCon، تیم مایکروسافت با او تماس گرفتند و خاطرنشان کردند که مدیران شبکه‌های تجاری می‌توانند با «افزودن یک ورودی رجیستری» به دستگاه‌های خود دسترسی به ابزارهای Power Automate را محدود کنند. این فرآیند بر انواع حساب‌هایی که می‌توانند به Power Automate وارد شوند، کنترل می‌کند. بنابراین احتمال سوء استفاده از سیستم را کاهش می دهد.

برگوری گفت، با این حال، برای موفقیت، این حرکت بستگی به این دارد که تیم‌های امنیتی سیاست‌های مشخص و ثابتی در سراسر سازمان خود داشته باشند، که همیشه اینطور نیست.

در حالی که محبوبیت ابزارهای RPA در حال افزایش است، در حال حاضر حملات دنیای واقعی برای سوء استفاده از پلتفرم ها طراحی شده اند. در اوایل سال 2020، تیم امنیتی مایکروسافت شش گروه هکر از جمله یک APT چینی را در یک شبکه شرکت پیدا کرد. یک گروه هکر از سیستم های خودکار برای حذف داده ها استفاده می کند.

مایکروسافت در گزارش حادثه نوشت: “در یک اقدام غیرمعمول، مهاجم از سیستم‌های موجود مشتری، از جمله eDiscovery، ویژگی‌های جستجوی سازگاری و Microsoft Flow برای سرقت خودکار نتایج جستجوی آنها استفاده کرد.”


ادامه مطلب


با آشکار شدن خطرات احتمالی برنامه‌های کم‌کد/بدون کد، برگوری گفت که شرکت‌ها ممکن است نیاز به ارزیابی مجدد سیاست‌های خود داشته باشند.

وی گفت: مهم ترین کار این است که عوامل حزب جمهوری اسلامی چه می کنند. شما واقعاً نمی توانید از همه کاربران تجاری در یک سازمان انتظار داشته باشید که قابلیت هایی را ارائه دهند که فقط چند ماه پیش در اختیار توسعه دهندگان قرار داشت.

منبع: وایرد

دیدگاهتان را بنویسید

hacklink al hd film izle php shell indir siber güvenlik türkçe anime izle Fethiye Escort android rat duşakabin fiyatları fud crypter hack forum bayan escort - vip elit escort lyft accident lawyer html nullednulled themesViagraAşık Etme Büyüsüsugar rush oynabomb bonanza oynabuca günlük dairegates of olympus oynaEvde Paketleme İşi İstanbul