Office 365 Config Loophole öffnet OneDrive, SharePoint-Daten für Ransomware-Angriffe

Forscher warnen davor, dass Angreifer die Funktionalität von Microsoft Office 365 missbrauchen können, um Dateien, die auf SharePoint und OneDrive gespeichert sind, bei Ransomware-Angriffen anzugreifen.

Diese Dateien, die per „automatischem Speichern“ gespeichert und in der Cloud gesichert werden, hinterlassen Endbenutzern normalerweise die Eindrucksdaten, die vor einem Ransomware-Angriff geschützt sind. Forscher sagen jedoch, dass dies nicht immer der Fall ist und Dateien, die auf SharePoint und OneDrive gespeichert sind, anfällig für einen Ransomware-Angriff sein können.

Die Forschung stammt von Proofpoint, das darlegt, was es als „potentiell gefährliche Funktionalität“ bezeichnet. in einem Bericht letzte Woche veröffentlicht.

„Proofpoint hat eine potenziell gefährliche Funktion in Office 365 oder Microsoft 365 entdeckt, die es Ransomware ermöglicht, auf SharePoint und OneDrive gespeicherte Dateien so zu verschlüsseln, dass sie ohne dedizierte Backups oder einen Entschlüsselungsschlüssel vom Angreifer nicht wiederherstellbar sind“, so die Forscher.

Wie die Angriffskette funktioniert

Die Angriffskette geht vom Schlimmsten aus und beginnt mit einer anfänglichen Kompromittierung der Anmeldeinformationen eines Office 365-Benutzerkontos. Dies führt zu einer Kontoübernahme, dann zur Entdeckung von Daten in der SharePoint- und OneDrive-Umgebung und schließlich zu einem Datenverstoß und einem Ransomware-Angriff.

Warum dies eine große Sache ist, argumentiert Proofpoint, ist, dass Tools wie Cloud-Backups über die „Auto-Save“-Funktion von Microsoft Teil einer bewährten Methode zur Verhinderung eines Ransomware-Angriffs sind. Sollten Daten auf einem Endpunkt eingesperrt sein, würde es ein Cloud-Backup geben, um den Tag zu retten. Die Konfiguration, wie viele Versionen einer Datei auf OneDrive und SharePoint gespeichert werden, reduziert den Schaden eines Angriffs weiter. Die Wahrscheinlichkeit, dass ein Angreifer frühere Versionen einer online gespeicherten Datei verschlüsselt, verringert die Wahrscheinlichkeit eines erfolgreichen Ransomware-Angriffs.

Proofpoint sagt, dass diese Vorsichtsmaßnahmen durch eine Modifikation durch einen Angreifer umgangen werden können Versionierungsgrenzen, wodurch ein Angreifer alle bekannten Versionen einer Datei verschlüsseln kann.

„Die meisten OneDrive-Konten haben ein Standardversionslimit von 500 [Versionssicherungen]. Ein Angreifer könnte Dateien innerhalb einer Dokumentbibliothek 501 Mal bearbeiten. Jetzt ist die ursprüngliche (vor dem Angreifer) Version jeder Datei 501 Versionen alt und daher nicht mehr wiederherstellbar“, schrieben die Forscher. „Verschlüsseln Sie die Datei(en) nach jeder der 501-Bearbeitungen. Jetzt sind alle 500 wiederherstellbaren Versionen verschlüsselt. Organisationen können die Originalversion (vor dem Angreifer) der Dateien nicht unabhängig wiederherstellen, selbst wenn sie versuchen, die Versionsbeschränkungen über die Anzahl der vom Angreifer bearbeiteten Versionen hinaus zu erhöhen. In diesem Fall, selbst wenn das Versionslimit auf 501 oder mehr erhöht wurde, können die Dateien, die in 501-Versionen oder älter gespeichert wurden, nicht wiederhergestellt werden“, schrieben sie.

Ein Angreifer mit Zugriff auf kompromittierte Konten kann den Versionierungsmechanismus missbrauchen, der unter der gefunden wird Listeneinstellungen und wirkt sich auf alle Dateien in der Dokumentbibliothek aus. Die Versionseinstellung kann geändert werden, ohne dass Administratorrechte erforderlich sind. Ein Angreifer kann dies ausnutzen, indem er zu viele Versionen einer Datei erstellt oder die Datei stärker als das Versionslimit verschlüsselt. Wenn beispielsweise das reduzierte Versionslimit auf 1 gesetzt ist, verschlüsselt der Angreifer die Datei zweimal. „In einigen Fällen kann der Angreifer die unverschlüsselten Dateien als Teil einer doppelten Erpressungstaktik exfiltrieren“, sagten die Forscher

Microsoft reagiert

Auf Nachfrage kommentierte Microsoft laut Proofpoint, dass „die Konfigurationsfunktion für Versionierungseinstellungen innerhalb von Listen wie vorgesehen funktioniert“. Es fügte hinzu: „Ältere Versionen von Dateien können möglicherweise mit Unterstützung des Microsoft-Supports für weitere 14 Tage wiederhergestellt und wiederhergestellt werden“, zitieren die Forscher Microsoft.

Die Forscher konterten in einer Erklärung: „Proofpoint hat versucht, alte Versionen durch diesen Prozess (dh mit dem Microsoft-Support) abzurufen und wiederherzustellen, und war nicht erfolgreich. Zweitens hat Proofpoint gezeigt, dass Angreifer sie für Cloud-Ransomware-Ziele missbrauchen können, selbst wenn der Konfigurations-Workflow der Versionsverwaltung wie beabsichtigt ist.“

Schritte zum Sichern von Microsoft Office 365

Proofpoint empfiehlt Benutzern, ihre Office 365-Konten zu stärken, indem sie eine starke Kennwortrichtlinie durchsetzen, die Multi-Faktor-Authentifizierung (MFA) aktivieren und regelmäßig externe Backups sensibler Daten durchführen.

Der Forscher schlug auch die „Reaktions- und Untersuchungsstrategien“ vor, die implementiert werden sollten, wenn eine Änderung der Konfiguration ausgelöst wird.

• Erhöhen Sie die wiederherstellbaren Versionen für die betroffenen Dokumentbibliotheken.
• Identifizieren Sie die Konfiguration mit hohem Risiko, die geänderte und zuvor kompromittierte Konten sind.
• OAuth-Token für verdächtige Drittanbieter-Apps sollten sofort widerrufen werden.
• Suchen Sie nach Mustern von Richtlinienverstößen in Cloud, E-Mail, Web und Endpunkten durch jeden Benutzer.

„Dateien, die sowohl auf dem Endpunkt als auch in der Cloud in einem hybriden Zustand gespeichert sind, z. B. über Cloud-Synchronisierungsordner, werden die Auswirkungen dieses neuartigen Risikos verringern, da der Angreifer keinen Zugriff auf die lokalen Dateien/Endpunktdateien hat“, sagten die Forscher. „Um einen vollständigen Lösegeldfluss durchzuführen, muss der Angreifer den Endpunkt und das Cloud-Konto kompromittieren, um auf den Endpunkt und die in der Cloud gespeicherten Dateien zugreifen zu können.“