Una herramienta de automatización de Windows 11 puede ser fácilmente secuestrada

Automatización del trabajo mundano tareas se ha vuelto más fácil en los últimos años. Con el software de automatización de arrastrar y soltar, puede realizar un seguimiento de sus horas de trabajo en una hoja de cálculo o crear automáticamente un elemento de la lista de tareas pendientes cuando alguien lo menciona en un correo electrónico. Las herramientas pueden facilitarle la vida, pero conllevan riesgos.

Un investigador de seguridad encontró una manera de secuestrar la herramienta de automatización de software de Microsoft para enviar ransomware a las máquinas conectadas y robar datos de los dispositivos. El ataque usa la herramienta de automatización tal como fue diseñada, pero en lugar de enviar acciones legítimas, puede usarse para implementar malware, dice Michael Bargury, cofundador y CTO de la firma de seguridad Zenity, que está detrás del trabajo.

“Mi investigación demostró que, como atacante, es muy fácil aprovechar toda esta infraestructura para hacer exactamente lo que se supone que debe hacer”, dice Bargury. “Tú [then] utilícelo para ejecutar sus propias cargas útiles en lugar de las cargas útiles de la empresa”. El investigador documentó su trabajo en la conferencia de hackers DefCon el mes pasado y desde entonces ha publicado el código.

El ataque se basa en Power Automate de Microsoft, una herramienta de automatización integrada en Windows 11. Power Automate utiliza una forma de automatización de procesos robóticos, también conocida como RPA, en la que una computadora imita las acciones de un humano para completar tareas. Si desea recibir una notificación cada vez que se actualice una fuente RSS, puede crear un proceso RPA personalizado para que eso suceda. Existen miles de estas automatizaciones, y el software de Microsoft puede vincular Outlook, Teams, Dropbox y otras aplicaciones.

El software es parte de un movimiento más amplio de código bajo/sin código que tiene como objetivo crear herramientas que las personas puedan usar para crear cosas sin tener ningún conocimiento de codificación. “Cada usuario comercial ahora tiene el poder que solía tener el desarrollador”, dice Bargury. Su empresa existe para ayudar a asegurar aplicaciones de bajo código o sin código.

La investigación de Bargury comienza desde una posición en la que un pirata informático ya obtuvo acceso a la computadora de alguien, ya sea a través de phishing o una amenaza interna. (Si bien las computadoras dentro de las empresas con frecuencia son inseguras, por la falta de parches y actualizaciones, por ejemplo, comenzar en este punto significa que un atacante ya habría ingresado a una red corporativa).

Una vez que un atacante tiene acceso a una computadora, debe tomar algunos pasos adicionales para abusar de la configuración de RPA, pero estos son relativamente simples. “No hay mucha piratería aquí”, dice Bargury, quien denominó todo el proceso Power Pwn y lo está documentando en GitHub.

Primero, un atacante necesita configurar una cuenta en la nube de Microsoft, conocida como arrendatario, y configurarla para que tenga controles administrativos sobre cualquier máquina que se le asigne. Básicamente, esto permite que la cuenta maliciosa ejecute procesos RPA en el dispositivo de un usuario final. En la máquina previamente comprometida, todo lo que tiene que hacer un hack ahora es asignarla a la nueva cuenta de administrador; esto se hace usando una línea de comando simple, llamada registro silencioso.

“Una vez que haga eso, obtendrá una URL que le permitirá, como atacante, enviar cargas útiles a la máquina”, dice Bargury. Antes de su charla de DefCon, creó varias demostraciones que mostraban cómo es posible usar Power Automate para enviar ransomware a las máquinas afectadas. Otras demostraciones muestran cómo un atacante puede robar tokens de autenticación de una máquina. “Puede filtrar datos fuera de las redes corporativas a través de este túnel confiable, puede crear registradores de teclas, puede tomar información del portapapeles, puede controlar el navegador”, dice Bargury.