Một công cụ tự động hóa Windows 11 có thể dễ dàng bị tấn công

Xem Thêm : 8 bộ điều khiển trò chơi tốt nhất (2022): PC,

Tự động hóa công việc trần tục nhiệm vụ đã trở nên dễ dàng hơn trong vài năm qua. Sử dụng phần mềm tự động hóa kéo và thả, bạn có thể theo dõi giờ làm việc của mình trong bảng tính hoặc tự động tạo mục danh sách việc cần làm khi ai đó đề cập đến bạn trong email. Các công cụ này có thể giúp cuộc sống của bạn dễ dàng hơn, nhưng chúng mang theo rủi ro.

Một nhà nghiên cứu bảo mật đã tìm ra cách chiếm quyền điều khiển công cụ tự động hóa phần mềm của Microsoft để gửi ransomware tới các máy được kết nối và đánh cắp dữ liệu từ các thiết bị. Cuộc tấn công sử dụng công cụ tự động hóa như nó được thiết kế, nhưng thay vì gửi các hành động hợp pháp, nó có thể được sử dụng để triển khai phần mềm độc hại, Michael Bargury, người đồng sáng lập và CTO của công ty bảo mật Zenity, công ty đứng sau cuộc tấn công, cho biết.

“Nghiên cứu của tôi cho thấy rằng bạn có thể rất dễ dàng, với tư cách là một kẻ tấn công, tận dụng tất cả cơ sở hạ tầng này để thực hiện chính xác những gì nó phải làm,” Bargury nói. “Bạn [then] sử dụng nó để chạy tải trọng của riêng bạn thay vì tải trọng doanh nghiệp. ” Nhà nghiên cứu đã ghi lại công việc của mình tại hội nghị hacker DefCon vào tháng trước và kể từ đó đã phát hành mã.

Cuộc tấn công dựa trên Power Automate của Microsoft, một công cụ tự động hóa được tích hợp trong Windows 11. Power Automate sử dụng một hình thức tự động hóa quy trình bằng robot, còn được gọi là RPA, trong đó máy tính bắt chước hành động của con người để hoàn thành nhiệm vụ. Nếu bạn muốn nhận thông báo mỗi khi cập nhật nguồn cấp RSS, bạn có thể xây dựng quy trình RPA tùy chỉnh để thực hiện điều đó. Hàng nghìn chế độ tự động này tồn tại và phần mềm của Microsoft có thể liên kết Outlook, Teams, Dropbox và các ứng dụng khác.

Phần mềm này là một phần của phong trào mã thấp / không mã rộng hơn nhằm mục đích tạo ra các công cụ mà mọi người có thể sử dụng để tạo ra mọi thứ mà không cần có bất kỳ kiến ​​thức mã hóa nào. Bargury nói: “Mọi người dùng doanh nghiệp hiện nay đều có sức mạnh mà nhà phát triển từng có. Công ty của anh ấy tồn tại để giúp bảo mật các ứng dụng ít mã / không có mã.

Nghiên cứu của Bargury bắt đầu từ một vị trí trong đó một tin tặc đã có được quyền truy cập vào máy tính của ai đó — cho dù là thông qua lừa đảo hoặc một mối đe dọa nội gián. (Mặc dù các máy tính trong doanh nghiệp thường không an toàn – chẳng hạn như thiếu bản vá và cập nhật – bắt đầu từ thời điểm này có nghĩa là kẻ tấn công đã xâm nhập vào mạng công ty.)

Khi kẻ tấn công có quyền truy cập vào máy tính, chúng cần thực hiện một số bước bổ sung để lạm dụng thiết lập RPA, nhưng những bước này tương đối đơn giản. “Không có nhiều vụ hack ở đây,” Bargury, người đặt tên cho toàn bộ quá trình là Power Pwn và đang ghi lại nó trên GitHub cho biết.

Đầu tiên, kẻ tấn công cần thiết lập tài khoản đám mây Microsoft, được gọi là người thuê và đặt tài khoản đó có quyền kiểm soát của quản trị viên đối với bất kỳ máy nào được gán cho nó. Điều này về cơ bản cho phép tài khoản độc hại chạy các quy trình RPA trên thiết bị của người dùng cuối. Trên máy bị xâm nhập trước đó, tất cả những gì mà một cuộc tấn công phải làm bây giờ là gán nó cho tài khoản quản trị mới — điều này được thực hiện bằng một dòng lệnh đơn giản, được gọi là đăng ký im lặng.

“Một khi bạn làm điều đó, bạn sẽ nhận được một URL cho phép bạn, với tư cách là kẻ tấn công, gửi tải trọng đến máy,” Bargury nói. Trước buổi nói chuyện với DefCon, anh ấy đã tạo nhiều bản demo cho thấy cách có thể sử dụng Power Automate để đẩy ransomware cho các máy bị ảnh hưởng. Các bản trình diễn khác cho thấy cách kẻ tấn công có thể đánh cắp mã thông báo xác thực từ một máy. Bargury nói: “Bạn có thể trích xuất dữ liệu bên ngoài mạng công ty thông qua đường hầm đáng tin cậy này, bạn có thể xây dựng keylogger, bạn có thể lấy thông tin từ khay nhớ tạm, bạn có thể kiểm soát trình duyệt.