آخرین مطالب

اتوماسیون ویندوز 11 به راحتی می‌تواند هک شود علمی وفناوری

اتوماسیون ویندوز 11 به راحتی می‌تواند هک شود

  بزرگنمایی:
محققان می‌گویند هکر‌ها می‌توانند ابزار اتوماسیون ویندوز ۱۱ را به راحتی هک کرده و از طریق باج‌افزار از کاربران سوءاستفاده کنند.

در چند سال گذشته، خودکار کردن کار‌های روزمره ساده‌تر شده است. با استفاده از نرم‌افزار اتوماسیون، می‌توانید ساعات کاری خود را در صفحه‌گسترده ردیابی کنید یا زمانی که شخصی از شما در ایمیل نام می‌برد، به‌طور خودکار یک مورد از فهرست کار‌ها را ایجاد کنید. ابزار‌ها می‌توانند زندگی شما را آسان‌تر کنند، اما خطراتی را نیز به همراه دارند.

یک محقق امنیتی راهی برای ربودن ابزار اتوماسیون نرم افزاری مایکروسافت برای ارسال باج افزار به ماشین‌های متصل و سرقت داده‌ها از دستگاه‌ها یافته است.

مایکل بارگوری، موسس و مدیر ارشد فناوری شرکت امنیتی Zenity که پشت این کار است، گفت: این حمله از ابزار اتوماسیون، همان طور که طراحی شده است، استفاده می‌کند؛ اما به جای ارسال اقدامات قانونی، می‌توان از آن برای استقرار بدافزار استفاده کرد.

بارگوری گفت: تحقیق من نشان داد که شما به‌عنوان یک مهاجم می‌توانید به راحتی از تمام این زیرساخت‌ها استفاده کنید تا دقیقا همان کاری را که قرار است انجام دهد، انجام دهید. شما از آن برای اجرای محموله‌های خود به جای محموله‌های سازمانی استفاده می‌کنید.

این حمله مبتنی بر Power Automate مایکروسافت است. یک ابزار اتوماسیون که در ویندوز 11 تعبیه شده است. Power Automate از نوعی اتوماسیون فرآیند روباتیک استفاده می‌کند که به عنوان RPA نیز شناخته می‌شود که در آن رایانه از اقدامات انسان برای تکمیل وظایف تقلید می‌کند. اگر می‌خواهید هر بار که فید RSS به‌روزرسانی می‌شود، یک اعلان دریافت کنید، می‌توانید یک فرآیند RPA سفارشی برای تحقق آن ایجاد کنید. هزاران مورد از این اتوماسیون‌ها وجود دارد و نرم افزار مایکروسافت می‌تواند Outlook، Teams، Dropbox و سایر برنامه‌ها را به هم مرتبط کند.

اتوماسیون ویندوز 11

این نرم‌افزار بخشی از یک جنبش گسترده‌تر کم‌کد/بدون کد است که هدف آن ایجاد ابزار‌هایی است که افراد می‌توانند از آن برای ایجاد مواردی بدون داشتن دانش کدنویسی استفاده کنند.

تحقیقات بارگوری از موقعیتی شروع می‌شود که در آن یک هکر قبلا به رایانه شخصی دسترسی پیدا کرده است؛ چه از طریق فیشینگ و چه از طریق یک تهدید داخلی.

هنگامی که یک مهاجم به رایانه دسترسی پیدا می‌کند، باید چند مرحله اضافی را برای سوء استفاده از تنظیمات RPA انجام دهد؛ اما این‌ها نسبتا ساده هستند.

بارگوری که کل فرآیند را Power Pwn نامیده و در حال مستندسازی آن در GitHub است، گفت: این جا هک زیاد نیست. یک مهاجم ابتدا باید یک حساب ابری مایکروسافت که به عنوان مستاجر شناخته می‌شود، راه‌اندازی کرده و آن را طوری تنظیم کند که کنترل‌های مدیریتی بر روی ماشین‌هایی که به او اختصاص داده می‌شود، داشته باشد. این اساسا به حساب مخرب اجازه می‌دهد تا فرآیند‌های RPA را در دستگاه کاربر نهایی اجرا کند. در دستگاهی که قبلا در معرض خطر قرار گرفته بود، اکنون تنها کاری که یک هکر باید انجام دهد این است که آن را به حساب مدیریت جدید اختصاص دهد، این کار با استفاده از یک خط فرمان ساده به نام ثبت نام خاموش انجام می‌شود.

بارگوری گفت: هنگامی که این کار را انجام دادید، یک URL دریافت خواهید کرد که به شما به عنوان یک مهاجم امکان ارسال محموله‌ها را به دستگاه می‌دهد. قبل از سخنرانی خود در DefCon، او چندین نسخه نمایشی ایجاد کرد که نشان می‌داد چگونه می‌توان از Power Automate برای خروج باج‌افزار به ماشین‌های آسیب‌دیده استفاده کرد. دمو‌های دیگر نشان می‌دهند که چگونه یک مهاجم می‌تواند توکن‌های احراز هویت را از یک ماشین بدزدد.

او گفت: شما می‌توانید از طریق این تونل قابل اعتماد، داده‌ها را خارج از شبکه‌های شرکتی استخراج کنید، می‌توانید کی لاگر بسازید یا اطلاعات را از کلیپ بورد گرفته و مرورگر را کنترل کنید.

سخنگوی مایکروسافت پتانسیل این حمله را کم اهمیت جلوه داد و اشاره کرد که قبل از استفاده از یک حساب، مهاجم باید به آن دسترسی داشته باشد. هیچ مکانیزمی وجود ندارد که به وسیله آن یک دستگاه کاملا به روز شده با محافظت‌های آنتی ویروس از راه دور با استفاده از این تکنیک به خطر بیفتد. این تکنیک بر یک سناریوی فرضی متکی است که در آن یک سیستم از قبل در معرض خطر یا مستعد به خطر افتادن با استفاده از تکنیک‌های موجود مانند مهندسی اجتماعی هم برای حمله اولیه و هم برای هر حمله بعدی شبکه است.

به گفته بارگوری شناسایی این نوع حمله ممکن است سخت باشد؛ زیرا از سیستم‌ها و فرآیند‌های رسمی در سراسر آن استفاده می‌کند. وقتی به معماری فکر می‌کنید، این یک ابزار اجرای کد از راه دور است که توسط مایکروسافت ساخته شده و در تمام طول مسیر توسط مایکروسافت امضا شده است.

ویندوز 11

بارگوری گفت که قبل از سخنرانی او در DefCon، تیم مایکروسافت با او تماس گرفته و اشاره کرده اند که مدیران شبکه‌های تجاری می‌توانند با «افزودن یک ورودی رجیستری» به دستگاه‌های خود دسترسی به ابزار‌های Power Automate را محدود کنند. این فرآیند کنترل‌هایی را بر روی انواع حساب‌هایی که می‌توانند به Power Automate وارد شوند، اعمال می‌کند؛ بنابراین احتمال سوء استفاده از سیستم را کاهش می‌دهد.

با این حال بارگوری گفت: برای موفقیت‌آمیز بودن، این حرکت به تیم‌های امنیتی متکی است که سیاست‌های منسجم و روشنی را در سراسر سازمان‌های خود داشته باشند که همیشه این طور نیست.

در حالی که محبوبیت ابزار‌های RPA در حال افزایش است، قبلا حملاتی در دنیای واقعی برای سوء استفاده از پلتفرم‌ها طراحی شده‌اند. در اوایل سال 2020، تیم امنیتی مایکروسافت شش گروه هکر از جمله یک APT چینی را در شبکه یک شرکت پیدا کرد. یکی از گروه‌های هکر از سیستم‌های خودکار برای حذف داده‌ها استفاده کرد.

مایکروسافت در گزارش حادثه نوشت: "در اقدامی غیر معمول، مهاجم از سیستم‌های موجود مشتری، از جمله eDiscovery، ویژگی Compliance Search و Microsoft Flow برای سرقت خودکار نتایج جست و جوی خود استفاده کرد."

با آشکار شدن خطرات احتمالی در مورد برنامه‌های کاربردی کم کد/بدون کد، بارگوری گفت: شرکت‌ها ممکن است نیاز به ارزیابی مجدد سیاست‌های خود داشته باشند.

او گفت: نکته بسیار مهم نظارت بر آنچه که عوامل RPA انجام می‌دهند، است. شما نمی‌توانید واقعا انتظار داشته باشید که همه کاربران تجاری در یک سازمان قابلیت‌هایی را ارائه دهند که تا چند ماه پیش فقط به توسعه دهندگان اختصاص داشت.



نظرات شما

ارسال دیدگاه

Protected by FormShield

lastnews

پاکستان: هیچ نظامی یا غیرنظامی ایرانی هدف قرار نگرفتند

رئیس‌جمهور در دیدار اقشار و منتخبین شهرستان فیروزکوه: دولت به دنبال اولویت‌بندی کمبودها و مشکلات و سپس حل آن‌هاست

پیام مهدی طارمی برای مردم فلسطین

امیرعبداللهیان: هیچ تعارفی با طرف‌های تروریستی در پاکستان و عراق نداریم

اقدام دولت برای حمایت از مستمری‌بگیران

بهره‌مندی هنرستانیها از یک ماه کسری خدمت «سربازی»

یارانه یک میلیونی برای کودکان دارای اختلال رشد 5 دهک اول/ارزیابی 3 ماهه وضعیت رشد کودکان

وزیر دفاع : روسیه باید موضوع تمامیت ارضی ایران را رعایت کند

پالایشگاه‌های چینی برای خرید نفت ارزان راه افتادند

بازار سرمایه و کنترل تورم و نقدینگی و رشد تولید به قلم دکتر جواد درواری

تدوین تله فیلم *خط قرمز*به تهیه کنندگی عباس جاهد در استان اردبیل به پایان رسید

توافق نهایی با هند برای توسعه بندر چابهار

گزارش شرکت مالک نفت‌کش توقیف‌شده آمریکایی از وضع سلامتی گروه کارکنان آن در ایران

در کنفرانس مطبوعاتی مشترک با وزیر خارجه هند امیرعبداللهیان اعلام کرد: هشدار ایران به آمریکا، انگلیس و رژیم صهیونیستی

از سرگیری مرمت پل‌بند تاریخی لشکر شوشتر

امیرعبداللهیان: محاسبه رژیم اسراییل در مورد حماس غلط بود/ به نیروهای مقاومت دستور نمی‌دهیم

مرگ دانشمند ایرانی در یک حادثه

ثبت بالاترین مقدار تولید نفت ایران پس از تحریم‌ها

حذف یارانه تعدادی از یارانه بگیران در دی ماه/ ماجرا چیست؟

تراکتور به دور از حواشی به سمت موفقیت

مصرف سرانه نان در کشور سالی 170 کیلوگرم؛ نان ناسالم چه بلایی سر بدن می‌آورد؟

ویتامین‌ها از طریق مکمل‌ها تأمین نمی‌شوند

ابطال شرط سنی ورود به دانشگاه فرهنگیان از سوی دیوان عدالت اداری

ارتش آمریکا: 16 نقطه یمن را هدف قرار دادیم

آیا شما یک آدم سمّی هستید

واکاوی یک تراژدی / نابغه ای در لجنزار

آغاز جلسه دادگاه لاهه برای پرونده نسل‌کشی رژیم صهیونیستی در غزه

ارتش یک نفتکش آمریکایی را در دریای عمان توقیف کرد

همدان پایتخت گردشگری آسیا شد

مدیرعامل مرکز مبادله طلا و ارز خبر داد تخصیص اسکناس کشور مبدأ به مسافران تا عید نوروز

طرح آمریکا برای منطقه «بعد از جنگ غزه» با همکاری عربستان

فرصت 2 ماهه بانک مرکزی برای کاهش رشد پایه پولی و نقدینگی

اولین نشست کمیته فلسطین APA رئیس پارلمان کشورهای عربی: ساکنان در برابر جنایات رژیم صهیونیستی شریک جرم هستند

استارت پروژه «نبیل باهویی ٢» با حضور برانکو

وزیر کشور: انفجار تروریستی در کرمان خارج از رینگ حفاظتی مراسم بود

ادغام تعرفه رای دو انتخابات 1402

211 شیء تاریخی ایران در چین

طرح جامع مدیریت دریاچه نمک به تصویب رسید مخبر: دولت با جدیت به دنبال حل مشکلات حمل و نقل عمومی است

رهبر انقلاب در دیدار هزاران نفر از مردم قم: دشمن سیاست «بیرون کشاندن مردم ایران از صحنه» را پیگیری می‌کند

تعلیق از خدمت 4 کارمند شهرداری دزفول

آخرین وضعیت ثبت‌نام در کاروان‌های حج

استفاده از معلم آقا در دبیرستان‌های دخترانه؛ نیازمند مجوز/ تعیین تکلیف مدیران زن مدارس پسرانه

ماجرای ارسال پیامک برای متقاضیان شیرخشک

دبیر هیات بادبانی استان هرمزگان: گسترش گردشگری ورزش‌های دریایی در هرمزگان یک ضرورت است

آغاز دور جدید گرانفروشی بلیت هواپیما؛ بلیت هواپیما به نرخ مصوب نیست

قوه قضاییه: حکم بخش دوم پرونده هواپیمای اوکراینی صادر شد/ متهم ردیف اول بازداشت است

کشف شیشه و هیروئین از یک خودروی سواری در هندیجان

بارورسازی ابر‌ها برای کشوری وسیع همچون ایران اجرایی و عملی نیست

کنعانی: مسئله دریای سرخ معلول است؛ علت نیست/ تدوین سند همکاری با روسیه در گام‌های نهایی است

اختلاف نظر درباره بدهی 100 میلیارد دلاری