Una "pieza de funcionalidad potencialmente peligrosa" informada permite a un atacante lanzar un ataque en la infraestructura de la nube y los archivos de rescate almacenados en SharePoint y OneDrive.
Los investigadores advierten que los atacantes pueden abusar de la funcionalidad de Microsoft Office 365 para atacar archivos almacenados en SharePoint y OneDrive en ataques de ransomware.
Esos archivos, almacenados a través de "guardado automático" y respaldados en la nube, generalmente dejan a los usuarios finales con la impresión de que los datos están protegidos contra un ataque de ransomware. Sin embargo, los investigadores dicen que no siempre es así y que los archivos almacenados en SharePoint y OneDrive pueden ser vulnerables a un ataque de ransomware.
La investigación proviene de Proofpoint, que establece lo que dice es "una pieza de funcionalidad potencialmente peligrosa". en un informe publicado la semana pasada.
“Proofpoint ha descubierto una funcionalidad potencialmente peligrosa en Office 365 o Microsoft 365 que permite que el ransomware cifre archivos almacenados en SharePoint y OneDrive de una manera que los hace irrecuperables sin copias de seguridad dedicadas o una clave de descifrado del atacante”, según los investigadores.
Cómo funciona la cadena de ataque
La cadena de ataque asume lo peor y comienza con un compromiso inicial de las credenciales de la cuenta de un usuario de Office 365. Esto conduce a una apropiación de la cuenta, luego al descubrimiento de datos dentro del entorno de SharePoint y OneDrive y, finalmente, a una violación de datos y un ataque de ransomware.
La razón por la que esto es un gran problema, argumenta Proofpoint, es que herramientas como las copias de seguridad en la nube a través de la función de "guardado automático" de Microsoft han sido parte de las mejores prácticas para prevenir un ataque de ransomware. En caso de que los datos se bloqueen en un punto final, habría una copia de seguridad en la nube para salvar el día. Configurar cuántas versiones de un archivo se guardan en OneDrive y SharePoint reduce aún más el daño de un ataque. La probabilidad de que un adversario cifre versiones anteriores de un archivo almacenado en línea reduce la probabilidad de un ataque de ransomware exitoso.
Proofpoint dice que estas precauciones se pueden eludir si un atacante modifica límites de versiones, que permite a un atacante cifrar todas las versiones conocidas de un archivo.
“La mayoría de las cuentas de OneDrive tienen un límite de versión predeterminado de 500 [copias de seguridad de la versión]. Un atacante podría editar archivos dentro de una biblioteca de documentos 501 veces. Ahora, la versión original (antes del atacante) de cada archivo tiene 501 versiones y, por lo tanto, ya no se puede restaurar”, escribieron los investigadores. “Cifre los archivos después de cada una de las ediciones 501. Ahora las 500 versiones restaurables están encriptadas. Las organizaciones no pueden restaurar de forma independiente la versión original (anterior al atacante) de los archivos, incluso si intentan aumentar los límites de versión más allá de la cantidad de versiones editadas por el atacante. En este caso, incluso si el límite de versiones se aumentó a 501 o más, los archivos guardados en versiones 501 o anteriores no se pueden restaurar”, escribieron.
Un adversario con acceso a cuentas comprometidas puede abusar del mecanismo de control de versiones que se encuentra bajo el configuración de la lista y afecta a todos los archivos de la biblioteca de documentos. La configuración de control de versiones se puede modificar sin necesidad de privilegios de administrador; un atacante puede aprovechar esto creando demasiadas versiones de un archivo o cifrando el archivo más allá del límite de control de versiones. Por ejemplo, si el límite de versión reducida se establece en 1, el atacante cifra el archivo dos veces. “En algunos casos, el atacante puede exfiltrar los archivos sin cifrar como parte de una táctica de doble extorsión”, dijeron los investigadores.
Microsoft responde
Cuando se le preguntó, Microsoft comentó que "la funcionalidad de configuración para la configuración de versiones dentro de las listas funciona según lo previsto", según Proofpoint. Agregó que "las versiones anteriores de los archivos pueden recuperarse y restaurarse potencialmente durante 14 días adicionales con la ayuda del Soporte de Microsoft", citan los investigadores de Microsoft.
Los investigadores respondieron en una declaración: “Proofpoint intentó recuperar y restaurar versiones antiguas a través de este proceso (es decir, con el soporte de Microsoft) y no tuvo éxito. En segundo lugar, incluso si el flujo de trabajo de configuración de la configuración de versiones es el previsto, Proofpoint ha demostrado que los atacantes pueden abusar de él con fines de ransomware en la nube”.
Pasos para proteger Microsoft Office 365
Proofpoint recomienda a los usuarios que fortalezcan sus cuentas de Office 365 aplicando una política de contraseña segura, habilitando la autenticación multifactor (MFA) y manteniendo regularmente la copia de seguridad externa de los datos confidenciales.
El investigador también sugirió las 'estrategias de respuesta e investigación' que deberían implementarse si se desencadena un cambio en la configuración.
- Aumente las versiones restaurables de las bibliotecas de documentos afectadas.
- Identifique la configuración de alto riesgo que está alterada y las cuentas previamente comprometidas.
- Los tokens de OAuth para cualquier aplicación sospechosa de terceros deben revocarse de inmediato.
- Busque patrones de infracción de políticas en la nube, el correo electrónico, la web y el punto final por parte de cualquier usuario.
“Los archivos almacenados en un estado híbrido tanto en el punto final como en la nube, como a través de carpetas de sincronización en la nube, reducirán el impacto de este nuevo riesgo, ya que el atacante no tendrá acceso a los archivos locales/del punto final”, dijeron los investigadores. "Para realizar un flujo de rescate completo, el atacante tendrá que comprometer el punto final y la cuenta en la nube para acceder al punto final y a los archivos almacenados en la nube".
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- hacks
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
- zephyrnet
