\n<\/p>\n
Automatizaci\u00f3n del trabajo mundano<\/span> tareas se ha vuelto m\u00e1s f\u00e1cil en los \u00faltimos a\u00f1os. Con el software de automatizaci\u00f3n de arrastrar y soltar, puede realizar un seguimiento de sus horas de trabajo en una hoja de c\u00e1lculo o crear autom\u00e1ticamente un elemento de la lista de tareas pendientes cuando alguien lo menciona en un correo electr\u00f3nico. Las herramientas pueden facilitarle la vida, pero conllevan riesgos.<\/p>\n Un investigador de seguridad encontr\u00f3 una manera de secuestrar la herramienta de automatizaci\u00f3n de software de Microsoft para enviar ransomware a las m\u00e1quinas conectadas y robar datos de los dispositivos. El ataque usa la herramienta de automatizaci\u00f3n tal como fue dise\u00f1ada, pero en lugar de enviar acciones leg\u00edtimas, puede usarse para implementar malware, dice Michael Bargury, cofundador y CTO de la firma de seguridad Zenity, que est\u00e1 detr\u00e1s del trabajo.<\/p>\n \u201cMi investigaci\u00f3n demostr\u00f3 que, como atacante, es muy f\u00e1cil aprovechar toda esta infraestructura para hacer exactamente lo que se supone que debe hacer\u201d, dice Bargury. \u00abT\u00fa [then] util\u00edcelo para ejecutar sus propias cargas \u00fatiles en lugar de las cargas \u00fatiles de la empresa\u201d. El investigador document\u00f3 su trabajo en la conferencia de hackers DefCon el mes pasado y desde entonces ha publicado el c\u00f3digo.<\/p>\n El ataque se basa en Power Automate de Microsoft, una herramienta de automatizaci\u00f3n integrada en Windows 11. Power Automate utiliza una forma de automatizaci\u00f3n de procesos rob\u00f3ticos, tambi\u00e9n conocida como RPA, en la que una computadora imita las acciones de un humano para completar tareas. Si desea recibir una notificaci\u00f3n cada vez que se actualice una fuente RSS, puede crear un proceso RPA personalizado para que eso suceda. Existen miles de estas automatizaciones, y el software de Microsoft puede vincular Outlook, Teams, Dropbox y otras aplicaciones.<\/p>\n El software es parte de un movimiento m\u00e1s amplio de c\u00f3digo bajo\/sin c\u00f3digo que tiene como objetivo crear herramientas que las personas puedan usar para crear cosas sin tener ning\u00fan conocimiento de codificaci\u00f3n. \u201cCada usuario comercial ahora tiene el poder que sol\u00eda tener el desarrollador\u201d, dice Bargury. Su empresa existe para ayudar a asegurar aplicaciones de bajo c\u00f3digo o sin c\u00f3digo.<\/p>\n La investigaci\u00f3n de Bargury comienza desde una posici\u00f3n en la que un pirata inform\u00e1tico ya obtuvo acceso a la computadora de alguien, ya sea a trav\u00e9s de phishing o una amenaza interna. (Si bien las computadoras dentro de las empresas con frecuencia son inseguras, por la falta de parches y actualizaciones, por ejemplo, comenzar en este punto significa que un atacante ya habr\u00eda ingresado a una red corporativa).<\/p>\n Una vez que un atacante tiene acceso a una computadora, debe tomar algunos pasos adicionales para abusar de la configuraci\u00f3n de RPA, pero estos son relativamente simples. \u201cNo hay mucha pirater\u00eda aqu\u00ed\u201d, dice Bargury, quien denomin\u00f3 todo el proceso Power Pwn y lo est\u00e1 documentando en GitHub.<\/p>\n Primero, un atacante necesita configurar una cuenta en la nube de Microsoft, conocida como arrendatario, y configurarla para que tenga controles administrativos sobre cualquier m\u00e1quina que se le asigne. B\u00e1sicamente, esto permite que la cuenta maliciosa ejecute procesos RPA en el dispositivo de un usuario final. En la m\u00e1quina previamente comprometida, todo lo que tiene que hacer un hack ahora es asignarla a la nueva cuenta de administrador; esto se hace usando una l\u00ednea de comando simple, llamada registro silencioso.<\/p>\n \u201cUna vez que haga eso, obtendr\u00e1 una URL que le permitir\u00e1, como atacante, enviar cargas \u00fatiles a la m\u00e1quina\u201d, dice Bargury. Antes de su charla de DefCon, cre\u00f3 varias demostraciones que mostraban c\u00f3mo es posible usar Power Automate para enviar ransomware a las m\u00e1quinas afectadas. Otras demostraciones muestran c\u00f3mo un atacante puede robar tokens de autenticaci\u00f3n de una m\u00e1quina. \u201cPuede filtrar datos fuera de las redes corporativas a trav\u00e9s de este t\u00fanel confiable, puede crear registradores de pulsaciones de teclas, puede tomar informaci\u00f3n del portapapeles, puede controlar el navegador\u201d, dice Bargury.<\/p>\n<\/div>\n