Μια αναφερόμενη «δυνητικά επικίνδυνη λειτουργικότητα» επιτρέπει σε έναν εισβολέα να εξαπολύσει επίθεση στην υποδομή cloud και να συλλέγει αρχεία που είναι αποθηκευμένα στο SharePoint και στο OneDrive.
Οι ερευνητές προειδοποιούν ότι οι εισβολείς μπορούν να κάνουν κατάχρηση της λειτουργικότητας του Microsoft Office 365 για να στοχεύσουν αρχεία που είναι αποθηκευμένα στο SharePoint και στο OneDrive σε επιθέσεις ransomware.
Αυτά τα αρχεία, που αποθηκεύονται μέσω της «αυτόματης αποθήκευσης» και δημιουργούνται αντίγραφα ασφαλείας στο cloud, συνήθως αφήνουν τους τελικούς χρήστες με τα δεδομένα εντύπωσης που προστατεύονται από μια επίθεση ransomware. Ωστόσο, οι ερευνητές λένε ότι αυτό δεν συμβαίνει πάντα και τα αρχεία που είναι αποθηκευμένα στο SharePoint και το OneDrive μπορεί να είναι ευάλωτα σε επίθεση ransomware.
Η έρευνα προέρχεται από την Proofpoint, η οποία αναφέρει αυτό που λέει ότι είναι «δυνητικά επικίνδυνο κομμάτι λειτουργικότητας» σε μια έκθεση κυκλοφόρησε την περασμένη εβδομάδα.
«Η Proofpoint ανακάλυψε ένα δυνητικά επικίνδυνο κομμάτι λειτουργικότητας στο Office 365 ή το Microsoft 365 που επιτρέπει στο ransomware να κρυπτογραφεί αρχεία που είναι αποθηκευμένα στο SharePoint και στο OneDrive με τρόπο που τα καθιστά μη ανακτήσιμα χωρίς ειδικά αντίγραφα ασφαλείας ή κλειδί αποκρυπτογράφησης από τον εισβολέα», σύμφωνα με ερευνητές.
Πώς λειτουργεί η αλυσίδα επίθεσης
Η αλυσίδα επίθεσης αναλαμβάνει τα χειρότερα και ξεκινά με έναν αρχικό συμβιβασμό των διαπιστευτηρίων λογαριασμού χρήστη του Office 365. Αυτό οδηγεί σε ανάληψη λογαριασμού, στη συνέχεια σε ανακάλυψη δεδομένων στο περιβάλλον του SharePoint και του OneDrive και τελικά σε παραβίαση δεδομένων και επίθεση ransomware.
Γιατί αυτό είναι μεγάλο, υποστηρίζει η Proofpoint, είναι ότι εργαλεία όπως τα αντίγραφα ασφαλείας cloud μέσω της δυνατότητας "αυτόματης αποθήκευσης" της Microsoft αποτελούν μέρος των βέλτιστων πρακτικών για την αποτροπή επίθεσης ransomware. Εάν τα δεδομένα είναι κλειδωμένα σε ένα τελικό σημείο, θα υπάρχει ένα αντίγραφο ασφαλείας στο σύννεφο για να σώσει την ημέρα. Η διαμόρφωση του αριθμού των εκδόσεων ενός αρχείου που αποθηκεύονται στο OneDrive και το SharePoint μειώνει περαιτέρω τη ζημιά μιας επίθεσης. Η πιθανότητα και ο αντίπαλος να κρυπτογραφήσει προηγούμενες εκδόσεις ενός αρχείου που είναι αποθηκευμένο στο διαδίκτυο μειώνει την πιθανότητα μιας επιτυχημένης επίθεσης ransomware.
Η Proofpoint λέει ότι αυτές οι προφυλάξεις μπορούν να παρακαμφθούν μέσω της τροποποίησης ενός εισβολέα όρια έκδοσης, το οποίο επιτρέπει σε έναν εισβολέα να κρυπτογραφήσει όλες τις γνωστές εκδόσεις ενός αρχείου.
«Οι περισσότεροι λογαριασμοί OneDrive έχουν προεπιλεγμένο όριο έκδοσης 500 [αντίγραφα ασφαλείας έκδοσης]. Ένας εισβολέας μπορούσε να επεξεργαστεί αρχεία σε μια βιβλιοθήκη εγγράφων 501 φορές. Τώρα, η αρχική (προ-επίθεση) έκδοση κάθε αρχείου είναι 501 εκδόσεις παλιά και επομένως δεν μπορεί πλέον να αποκατασταθεί», έγραψαν οι ερευνητές. "Κρυπτογραφήστε τα αρχεία μετά από κάθε μία από τις 501 επεξεργασίες. Τώρα και οι 500 εκδόσεις με δυνατότητα επαναφοράς είναι κρυπτογραφημένες. Οι οργανισμοί δεν μπορούν να επαναφέρουν ανεξάρτητα την αρχική (προ-επιτιθέμενη) έκδοση των αρχείων ακόμα κι αν επιχειρήσουν να αυξήσουν τα όρια εκδόσεων πέρα από τον αριθμό των εκδόσεων που επεξεργάστηκε ο εισβολέας. Σε αυτήν την περίπτωση, ακόμα κι αν το όριο έκδοσης αυξήθηκε σε 501 ή περισσότερες, τα αρχεία που έχουν αποθηκευτεί 501 εκδόσεις ή παλαιότερες δεν μπορούν να αποκατασταθούν», έγραψαν.
Ένας αντίπαλος με πρόσβαση σε παραβιασμένους λογαριασμούς μπορεί να κάνει κατάχρηση του μηχανισμού έκδοσης που βρίσκεται κάτω από το ρυθμίσεις λίστας και επηρεάζει όλα τα αρχεία στη βιβλιοθήκη εγγράφων. Η ρύθμιση έκδοσης μπορεί να τροποποιηθεί χωρίς να απαιτείται δικαιώματα διαχειριστή, ένας εισβολέας μπορεί να το αξιοποιήσει δημιουργώντας πάρα πολλές εκδόσεις ενός αρχείου ή κρυπτογραφώντας το αρχείο περισσότερο από το όριο έκδοσης εκδόσεων. Για παράδειγμα, εάν το μειωμένο όριο έκδοσης έχει οριστεί στο 1, τότε ο εισβολέας κρυπτογραφεί το αρχείο δύο φορές. «Σε ορισμένες περιπτώσεις, ο εισβολέας μπορεί να εκτοπίσει τα μη κρυπτογραφημένα αρχεία ως μέρος μιας τακτικής διπλού εκβιασμού», είπαν οι ερευνητές
Η Microsoft απαντά
Όταν ρωτήθηκε, η Microsoft σχολίασε ότι «η λειτουργικότητα διαμόρφωσης για τις ρυθμίσεις έκδοσης εκδόσεων εντός λιστών λειτουργεί όπως προβλέπεται», σύμφωνα με το Proofpoint. Πρόσθεσε ότι «οι παλιότερες εκδόσεις αρχείων μπορούν ενδεχομένως να ανακτηθούν και να αποκατασταθούν για επιπλέον 14 ημέρες με τη βοήθεια της υποστήριξης της Microsoft», αναφέρουν οι ερευνητές τη Microsoft.
Οι ερευνητές αντέδρασαν σε μια δήλωση: «Η Proofpoint προσπάθησε να ανακτήσει και να επαναφέρει παλιές εκδόσεις μέσω αυτής της διαδικασίας (δηλαδή, με την υποστήριξη της Microsoft) και δεν ήταν επιτυχής. Δεύτερον, ακόμα κι αν η ροή εργασιών διαμόρφωσης των ρυθμίσεων έκδοσης είναι η προβλεπόμενη, η Proofpoint έδειξε ότι μπορεί να γίνει κατάχρηση από εισβολείς για σκοπούς cloud ransomware».
Βήματα για την ασφάλεια του Microsoft Office 365
Η Proofpoint συνιστά στους χρήστες να ενισχύσουν τους λογαριασμούς τους στο Office 365 εφαρμόζοντας μια ισχυρή πολιτική κωδικών πρόσβασης, ενεργοποιώντας τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) και διατηρώντας τακτικά το εξωτερικό αντίγραφο ασφαλείας των ευαίσθητων δεδομένων.
Ο ερευνητής πρότεινε επίσης τις «στρατηγικές απόκρισης και έρευνας» που θα πρέπει να εφαρμοστούν εάν ενεργοποιηθεί μια αλλαγή στη διαμόρφωση.
- Αυξήστε τις εκδόσεις με δυνατότητα επαναφοράς για τις επηρεαζόμενες βιβλιοθήκες εγγράφων.
- Προσδιορίστε τη διαμόρφωση υψηλού κινδύνου που είναι τροποποιημένοι και προηγουμένως παραβιασμένοι λογαριασμοί.
- Τα διακριτικά OAuth για τυχόν ύποπτες εφαρμογές τρίτων θα πρέπει να ανακληθούν αμέσως.
- Αναζητήστε μοτίβα παραβίασης πολιτικών σε cloud, email, web και τελικό σημείο από οποιονδήποτε χρήστη.
«Τα αρχεία που είναι αποθηκευμένα σε υβριδική κατάσταση τόσο στο τελικό σημείο όσο και στο cloud, όπως μέσω φακέλων συγχρονισμού cloud, θα μειώσουν τον αντίκτυπο αυτού του νέου κινδύνου, καθώς ο εισβολέας δεν θα έχει πρόσβαση στα αρχεία τοπικού/τελικού σημείου», είπαν οι ερευνητές. "Για να εκτελέσει μια πλήρη ροή λύτρων, ο εισβολέας θα πρέπει να θέσει σε κίνδυνο το τελικό σημείο και τον λογαριασμό cloud για να αποκτήσει πρόσβαση στο τελικό σημείο και στα αρχεία που είναι αποθηκευμένα στο cloud."
- blockchain
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- αμυχές
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
- zephyrnet
