Automatiser le travail banal tâches sont devenues plus faciles au cours des dernières années. À l’aide d’un logiciel d’automatisation par glisser-déposer, vous pouvez suivre vos heures de travail dans une feuille de calcul ou créer automatiquement un élément de liste de tâches lorsque quelqu’un vous mentionne dans un e-mail. Les outils peuvent vous faciliter la vie, mais ils comportent des risques.
Un chercheur en sécurité a trouvé un moyen de détourner l’outil d’automatisation logicielle de Microsoft pour envoyer des rançongiciels aux machines connectées et voler les données des appareils. L’attaque utilise l’outil d’automatisation tel qu’il a été conçu, mais au lieu d’envoyer des actions légitimes, il peut être utilisé pour déployer des logiciels malveillants, explique Michael Bargury, cofondateur et CTO de la société de sécurité Zenity, qui est à l’origine du travail.
“Mes recherches ont montré que vous pouvez très facilement, en tant qu’attaquant, tirer parti de toute cette infrastructure pour faire exactement ce qu’elle est censée faire”, déclare Bargury. “Tu [then] utilisez-le pour exécuter vos propres charges utiles au lieu des charges utiles de l’entreprise. Le chercheur a documenté son travail lors de la conférence des hackers DefCon le mois dernier et a depuis publié le code.
L’attaque est basée sur Power Automate de Microsoft, un outil d’automatisation intégré à Windows 11. Power Automate utilise une forme d’automatisation de processus robotique, également connue sous le nom de RPA, dans laquelle un ordinateur imite les actions d’un humain pour accomplir des tâches. Si vous souhaitez recevoir une notification chaque fois qu’un flux RSS est mis à jour, vous pouvez créer un processus RPA personnalisé pour que cela se produise. Des milliers de ces automatisations existent et les logiciels de Microsoft peuvent relier Outlook, Teams, Dropbox et d’autres applications.
Le logiciel fait partie d’un mouvement plus large low-code/no-code qui vise à créer des outils que les gens peuvent utiliser pour créer des choses sans avoir aucune connaissance en codage. “Chaque utilisateur professionnel a désormais le pouvoir que le développeur avait auparavant”, déclare Bargury. Son entreprise existe pour aider à sécuriser les applications low-code/no-code.
Les recherches de Bargury partent d’une position dans laquelle un pirate informatique a déjà eu accès à l’ordinateur de quelqu’un, que ce soit par hameçonnage ou par une menace interne. (Alors que les ordinateurs des entreprises ne sont souvent pas sécurisés, en raison d’un manque de correctifs et de mises à jour, par exemple, commencer à ce stade signifie qu’un attaquant aurait déjà pénétré dans un réseau d’entreprise.)
Une fois qu’un attaquant a accès à un ordinateur, il doit prendre quelques mesures supplémentaires pour abuser de la configuration RPA, mais celles-ci sont relativement simples. “Il n’y a pas beaucoup de piratage ici”, déclare Bargury, qui a surnommé l’ensemble du processus Power Pwn et le documente sur GitHub.
Tout d’abord, un attaquant doit configurer un compte cloud Microsoft, appelé locataire, et le configurer pour qu’il ait des contrôles d’administration sur toutes les machines qui lui sont attribuées. Cela permet essentiellement au compte malveillant d’exécuter des processus RPA sur l’appareil d’un utilisateur final. Sur la machine précédemment compromise, tout ce qu’un hack a à faire maintenant est de l’attribuer au nouveau compte administrateur, cela se fait à l’aide d’une simple ligne de commande, appelée enregistrement silencieux.
“Une fois que vous faites cela, vous obtiendrez une URL qui vous permettrait, en tant qu’attaquant, d’envoyer des charges utiles à la machine”, explique Bargury. Avant sa conférence DefCon, il a créé plusieurs démos montrant comment il est possible d’utiliser Power Automate pour envoyer des ransomwares aux machines concernées. D’autres démos montrent comment un attaquant peut voler des jetons d’authentification sur une machine. “Vous pouvez exfiltrer des données en dehors des réseaux d’entreprise via ce tunnel de confiance, vous pouvez créer des enregistreurs de frappe, vous pouvez prendre des informations dans le presse-papiers, vous pouvez contrôler le navigateur”, explique Bargury.