Automatizando o trabalho mundano tarefas tornou-se mais fácil ao longo dos últimos anos. Usando o software de automação de arrastar e soltar, você pode acompanhar suas horas de trabalho em uma planilha ou criar automaticamente um item de lista de tarefas quando alguém menciona você em um e-mail. As ferramentas podem facilitar sua vida, mas trazem riscos.
Um pesquisador de segurança encontrou uma maneira de seqüestrar a ferramenta de automação de software da Microsoft para enviar ransomware para máquinas conectadas e roubar dados de dispositivos. O ataque usa a ferramenta de automação como foi projetada, mas em vez de enviar ações legítimas, pode ser usada para implantar malware, diz Michael Bargury, cofundador e CTO da empresa de segurança Zenidade que está por trás do trabalho.
“Minha pesquisa mostrou que você pode facilmente, como invasor, aproveitar toda essa infraestrutura para fazer exatamente o que deve fazer”, diz Bargury. "Você [then] use-o para executar suas próprias cargas úteis em vez das cargas úteis corporativas.” O pesquisador documentou seu trabalho no Conferência de hackers DefCon no mês passado e desde então lançou o código.
O ataque é baseado no Power Automate da Microsoft, uma ferramenta de automação integrada Windows 11. O Power Automate usa uma forma de automação de processos robóticos, também conhecida como RPA, na qual um computador imita as ações de um humano para concluir tarefas. Se você quiser receber uma notificação sempre que um feed RSS for atualizado, poderá criar um processo de RPA personalizado para que isso aconteça. Existem milhares dessas automações, e o software da Microsoft pode conectar o Outlook, EquipesDropbox e outros aplicativos.
O software faz parte de um amplo movimento low-code/no-code que visa criar ferramentas que as pessoas podem usar para criar coisas sem ter nenhum conhecimento de codificação. “Todo usuário de negócios agora tem o poder que o desenvolvedor costumava ter”, diz Bargury. Sua empresa existe para ajudar a proteger aplicativos com pouco código/sem código.
A pesquisa de Bargury começa a partir de uma posição em que um hacker já obteve acesso ao computador de alguém – seja por meio de phishing ou de uma ameaça interna. (Embora os computadores nas empresas sejam frequentemente inseguros - por falta de patches e atualizações, por exemplo - começar neste ponto significa que um invasor já teria entrado em uma rede corporativa.)
Depois que um invasor tem acesso a um computador, ele precisa executar algumas etapas adicionais para abusar da configuração do RPA, mas elas são relativamente simples. “Não há muitos hackers aqui”, diz Bargury, que apelidou todo o processo Power Pwn e está documentando no GitHub.
Primeiro, um invasor precisa configurar um Microsoft conta na nuvem, conhecido como locatário, e defina-o para ter controles de administrador sobre todas as máquinas atribuídas a ele. Isso essencialmente permite que a conta mal-intencionada execute processos RPA no dispositivo de um usuário final. Na máquina comprometida anteriormente, tudo o que um hack precisa fazer agora é atribuí-lo à nova conta de administrador - isso é feito usando uma linha de comando simples, chamada registro silencioso.
“Depois de fazer isso, você obterá um URL que permitirá que você, como invasor, envie cargas úteis para a máquina”, diz Bargury. Antes de sua palestra no DefCon, ele criou várias demonstrações mostrando como é possível usar o Power Automate para expulsar ransomware para máquinas impactadas. Outras demonstrações mostram como um invasor pode roubar tokens de autenticação de uma máquina. “Você pode exfiltrar dados fora das redes corporativas por meio desse túnel confiável, criar keyloggers, obter informações da área de transferência, controlar o navegador”, diz Bargury.