En rapporteret en "potentielt farlig funktionalitet" giver en angriber mulighed for at starte et angreb på cloud-infrastruktur og løsepengefiler gemt i SharePoint og OneDrive.
Forskere advarer om, at angribere kan misbruge Microsoft Office 365-funktionalitet til at målrette filer gemt på SharePoint og OneDrive i ransomware-angreb.
Disse filer, gemt via "auto-save" og sikkerhedskopieret i skyen, efterlader typisk slutbrugere med det indtryk, at data er beskyttet mod et ransomware-angreb. Forskere siger dog, at det ikke altid er tilfældet, og filer gemt på SharePoint og OneDrive kan være sårbare over for et ransomware-angreb.
Undersøgelsen kommer fra Proofpoint, som beskriver, hvad det siger er "potentielt farligt stykke funktionalitet" i en rapport udgivet i sidste uge.
"Proofpoint har opdaget et potentielt farligt stykke funktionalitet i Office 365 eller Microsoft 365, der gør det muligt for ransomware at kryptere filer, der er gemt på SharePoint og OneDrive på en måde, der gør dem uoprettelige uden dedikerede sikkerhedskopier eller en dekrypteringsnøgle fra angriberen," ifølge forskere.
Hvordan angrebskæden fungerer
Angrebskæden antager det værste og starter med en indledende kompromittering af en Office 365-brugers kontooplysninger. Dette fører til en kontoovertagelse, derefter opdagelse af data i SharePoint- og OneDrive-miljøet og til sidst et databrud og ransomware-angreb.
Hvorfor dette er en big deal, hævder Proofpoint, er, at værktøjer såsom cloud backup via Microsofts "auto-save"-funktion har været en del af bedste praksis for at forhindre et ransomware-angreb. Skulle data være låst op på et slutpunkt, ville der være en cloud backup for at redde dagen. Konfiguration af, hvor mange versioner af en fil, der er gemt i på OneDrive og SharePoint, reducerer yderligere skaden ved et angreb. Sandsynligheden for og modstanderens kryptering af tidligere versioner af en fil, der er gemt online, reducerer sandsynligheden for et vellykket ransomware-angreb.
Proofpoint siger, at disse forholdsregler kan omgås via en angriber, der modificerer versioneringsgrænser, som tillader en angriber at kryptere alle kendte versioner af en fil.
"De fleste OneDrive-konti har en standardversionsgrænse på 500 [versionssikkerhedskopier]. En angriber kunne redigere filer i et dokumentbibliotek 501 gange. Nu er den originale (pre-angriber) version af hver fil 501 versioner gammel og kan derfor ikke længere gendannes," skrev forskere. "Krypter filen/filerne efter hver af de 501 redigeringer. Nu er alle 500 genskabelige versioner krypteret. Organisationer kan ikke selvstændigt gendanne den originale (før-angriber) version af filerne, selvom de forsøger at øge versionsgrænserne ud over antallet af versioner, der er redigeret af angriberen. I dette tilfælde, selvom versionsgrænsen blev øget til 501 eller mere, kan filen/filerne, der er gemt 501 versioner eller ældre, ikke gendannes," skrev de.
En modstander med adgang til kompromitterede konti kan misbruge versionsmekanismen, der findes under listeindstillinger og påvirker alle filerne i dokumentbiblioteket. Versioneringsindstillingen kan ændres uden at kræve administratorrettigheder, en angriber kan udnytte dette ved at oprette for mange versioner af en fil eller kryptere filen mere end versionsgrænsen. For eksempel, hvis den reducerede versionsgrænse er sat til 1, krypterer angriberen filen to gange. "I nogle tilfælde kan angriberen eksfiltrere de ukrypterede filer som en del af en dobbelt afpresningstaktik," sagde forskere
Microsoft svarer
Da Microsoft blev spurgt, kommenterede Microsoft "konfigurationsfunktionaliteten for versionsindstillinger på lister fungerer efter hensigten," ifølge Proofpoint. Det tilføjede "ældre versioner af filer kan potentielt gendannes og gendannes i yderligere 14 dage med hjælp fra Microsoft Support," citerer forskere Microsoft.
Forskere svarede i en erklæring: "Proofpoint forsøgte at hente og gendanne gamle versioner gennem denne proces (dvs. med Microsoft Support) og lykkedes ikke. For det andet, selvom konfigurationsworkflowet for versionsindstillinger er efter hensigten, har Proofpoint vist, at det kan misbruges af angribere til cloud-ransomware-mål."
Trin til at sikre Microsoft Office 365
Proofpoint anbefaler brugere at styrke deres Office 365-konti ved at håndhæve en stærk adgangskodepolitik, aktivere multifaktorgodkendelse (MFA) og regelmæssigt vedligeholde den eksterne backup af følsomme data.
Forskeren foreslog også de 'respons- og undersøgelsesstrategier', der bør implementeres, hvis en ændring i konfigurationen udløses.
- Forøg antallet af genskabelige versioner for de berørte dokumentbiblioteker.
- Identificer den højrisikokonfiguration, der er ændret, og tidligere kompromitterede konti.
- OAuth-tokens for alle mistænkelige tredjepartsapps bør tilbagekaldes med det samme.
- Søg efter mønstre for overtrædelse af politikker på tværs af cloud, e-mail, web og slutpunkter af enhver bruger.
"Filer gemt i en hybrid tilstand på både endepunkt og sky, såsom gennem skysynkroniseringsmapper, vil reducere virkningen af denne nye risiko, da angriberen ikke vil have adgang til de lokale/slutpunktsfiler," sagde forskerne. "For at udføre en fuld løsesum skal angriberen kompromittere slutpunktet og cloud-kontoen for at få adgang til slutpunktet og de cloud-lagrede filer."
