RenderShock: Új típusú, felhasználói beavatkozás nélküli kibertámadás vállalatok ellen

Az informatikai biztonság újabb komoly kihívóval néz szembe: a RenderShock névre keresztelt kibertámadási módszer olyan rendszerszintű gyengeségeket használ ki, amelyek a modern operációs rendszerek és vállalati eszközök produktivitási funkcióit célozzák. A támadás különlegessége, hogy nem igényel felhasználói interakciót, vagyis a végfelhasználónak nem kell semmilyen fájlt megnyitnia vagy linkre kattintania ahhoz, hogy a rendszer kompromittálódjon.

Hogyan működik a RenderShock?

A RenderShock az úgynevezett passzív végrehajtási felületeket (passive execution surfaces) használja ki, amelyek automatikusan, a háttérben dolgoznak a fájlokkal. Ezek közé tartoznak például a fájl-előnézeti panelek (preview panes), dokumentumindexelő szolgáltatások, antivírus szkennerek és felhő-szinkronizációs eszközök. Ezek a komponensek általában megbízható, rendszerintegrált elemek, amelyek a napi munkafolyamatok részét képezik, és úgy vannak kialakítva, hogy automatikusan dolgozzák fel a fájlokat anélkül, hogy az felhasználói interakciót igényelne. A RenderShock ezt a bizalmi modellt használja ki úgy, hogy rosszindulatú, manipulált fájlokat juttat be a rendszerbe, amelyek feldolgozásakor a támadás aktiválódik.

Az öt lépéses támadási keretrendszer

A biztonsági kutatók azonosították, hogy a RenderShock támadás egy strukturált, öt lépésből álló folyamaton keresztül valósul meg:

  1. Payload tervezés: A támadók speciálisan megkonstruált fájlokat készítenek – ide tartoznak a külső hivatkozásokat tartalmazó PDF dokumentumok, a makróval ellátott Office fájlok, a poliglott fájlok (amelyek többféle formátumként értelmezhetők), illetve a betűtípusokban rejlő kihasználási technikák.
  2. Fájlok elhelyezése: A rosszindulatú fájlokat úgy juttatják el a célszerverekhez vagy végpontokhoz, hogy azok automatikusan feldolgozásra kerüljenek – például helpdesk portálokon, közös postafiókokban, USB-meghajtókon vagy felhő-alapú kollaborációs platformokon.
  3. Triggerelés: Amikor az érintett rendszer megpróbálja megjeleníteni az adott fájl előnézetét, vagy egy antivírus szkenner, illetve egy indexelő szolgáltatás dolgozik rajta, a támadás aktiválódik.
  4. Passzív felderítés és hitelesítés: A támadás képes például DNS jeleket kibocsátani (beaconing), vagy SMB protokollon keresztül NTLMv2 hasheket gyűjteni, amelyeken keresztül hitelesítő adatokat szerezhet meg.
  5. Távoli kódvégrehajtás és további károkozás: A támadó akár távoli kódfuttatást is elérhet, például makrók vagy rosszindulatú parancsikonok (LNK fájlok) segítségével, amelyeket a rendszer automatikusan kezel.

A támadás titkos természete és észlelési nehézségek

A RenderShock különlegessége, hogy a támadás a rendszer legitim, megszokott működését használja fel rosszindulatú célokra. Egy példában egy ZIP állományba rejtett LNK fájl egy távoli SMB megosztás ikonjának betöltését próbálta meg anélkül, hogy a felhasználónak bármit tennie kellett volna. Ez az SMB protokollon keresztül hitelesítő adatokat szivárogtathat ki, miközben az áldozat nem észlel semmilyen gyanús tevékenységet. Biztonsági szempontból ez hatalmas kihívást jelent, hiszen a támadás a rendszermag által használt folyamatokat (explorer.exe, searchindexer.exe, Office preview handler-ek) használja ki, amelyek megfigyelése és korlátozása nehéz, és a legtöbb hagyományos biztonsági megoldás nem képes ezekben a passzív feldolgozási folyamatokban gyanús tevékenységet azonosítani.

Milyen lépéseket javasolnak a szakértők?

  • Előnézeti funkciók letiltása: Amíg nincs megfelelő védelmi mechanizmus, érdemes korlátozni vagy letiltani a fájl-előnézet funkciókat, különösen az ismeretlen forrásból érkező fájlok esetén.
  • SMB forgalom szabályozása: Különösen az outbound (kifelé irányuló) SMB kapcsolatokat kell szigorúan ellenőrizni, korlátozni, vagy teljesen letiltani, hogy megelőzzük a hitelesítő adatok kiszivárgását.
  • Office alkalmazások szigorítása: Makrók és egyéb automatizált kódok futtatásának korlátozása, illetve a biztonsági beállítások szigorítása.
  • Viselkedéselemző megoldások bevezetése: Az előnézeti folyamatok hálózati kommunikációjának és rendszerhívásainak monitorozása, különösen olyan tevékenységek szempontjából, amelyek szokatlan hálózati kapcsolatokat vagy hitelesítési próbálkozásokat generálnak.

 

A RenderShock új szemléletet követel a vállalati informatikai biztonság területén. A hagyományos, felhasználói interakcióhoz kötött támadási formák helyét részben átveszik az olyan passzív, automatizált feldolgozási folyamatokon keresztül megvalósuló veszélyek, amelyek láthatatlanok maradnak a megszokott védelmi rétegek számára. Ez megköveteli, hogy a szervezetek újragondolják a bizalmi határokat az operációs rendszerek és vállalati alkalmazások automatizált funkciói kapcsán, és olyan biztonsági stratégiákat vezessenek be, amelyek ezeket a felületeket is hatékonyan monitorozzák és védik.

(gbhackers.com)