Teatatud "potentsiaalselt ohtlikust funktsioonist" võimaldab ründajal rünnata pilveinfrastruktuuri ja SharePointis ja OneDrive'is salvestatud lunarahafaile.
Teadlased hoiatavad, et ründajad võivad kuritarvitada Microsoft Office 365 funktsioone, et sihtida lunavararünnakutes SharePointi ja OneDrive’i salvestatud faile.
Need failid, mis on salvestatud automaatse salvestamise kaudu ja varundatud pilves, jätavad lõppkasutajatele tavaliselt mulje, et andmed on lunavararünnakute eest kaitstud. Teadlaste sõnul ei ole see aga alati nii ning SharePointi ja OneDrive’i salvestatud failid võivad olla lunavararünnakute suhtes haavatavad.
Uuring pärineb Proofpointist, mis kirjeldab väidetavalt "potentsiaalselt ohtlikku funktsionaalsust". aruandes vabastati eelmisel nädalal.
Teadlaste sõnul on Proofpoint avastanud Office 365 või Microsoft 365 potentsiaalselt ohtliku funktsiooni, mis võimaldab lunavaral SharePointi ja OneDrive’i salvestatud faile krüpteerida viisil, mis muudab need taastamatuks ilma spetsiaalsete varukoopiateta või ründaja dekrüpteerimisvõtmeta.
Kuidas rünnakuahel töötab
Rünnaku ahel eeldab halvimat ja algab Office 365 kasutaja konto mandaatide esialgsest kompromissist. See viib konto ülevõtmiseni, seejärel andmete avastamiseni SharePointi ja OneDrive’i keskkonnas ning lõpuks andmete rikkumise ja lunavararünnakuni.
Proofpointi sõnul on see suur asi selles, et sellised tööriistad nagu pilvevarukoopiad Microsofti automaatse salvestamise funktsiooni kaudu on olnud osa lunavararünnakute ennetamise parimatest tavadest. Kui andmed on lõpp-punktis lukustatud, oleks päeva päästmiseks pilvevarukoopia. OneDrive'is ja SharePointis salvestatavate failiversioonide konfigureerimine vähendab veelgi rünnakuga seotud kahju. Internetis salvestatud faili varasemate versioonide krüpteerimise tõenäosus ja vastane vähendab eduka lunavararünnaku tõenäosust.
Proofpoint ütleb, et neid ettevaatusabinõusid saab ründaja muutmise teel kõrvale hoida versioonipiirangud, mis võimaldab ründajal krüptida faili kõik teadaolevad versioonid.
"Enamikul OneDrive'i kontodel on vaikeversiooni limiit 500 [versioonivarukoopiad]. Ründaja võib dokumenditeegi faile redigeerida 501 korda. Nüüd on iga faili esialgne (ründaja-eelne) versioon 501 versiooni vana ja seetõttu pole seda enam võimalik taastada,“ kirjutasid teadlased. "Krüptige fail(id) pärast iga 501 muudatust. Nüüd on kõik 500 taastatavat versiooni krüptitud. Organisatsioonid ei saa iseseisvalt taastada failide algset (ründaja-eelset) versiooni isegi siis, kui nad üritavad versioonipiiranguid suurendada, kui ründaja redigeeritud versioonide arv ületab. Sel juhul, isegi kui versioonilimiiti suurendati 501-ni või enamani, ei saa 501-st või vanemast versioonist salvestatud faili(d) taastada,” kirjutasid nad.
Vastane, kellel on juurdepääs ohustatud kontodele, võib kuritarvitada versioonide loomise mehhanismi, mis on leitud all loendi seaded ja mõjutab kõiki dokumenditeegi faile. Versiooniseadeid saab muuta ilma administraatoriõigusi nõudmata, ründaja saab seda kasutada, luues failist liiga palju versioone või krüpteerides faili versioonipiirangust rohkem. Näiteks kui vähendatud versioonilimiit on seatud väärtusele 1, krüpteerib ründaja faili kaks korda. "Mõnel juhul võib ründaja kahekordse väljapressimise taktika osana krüptimata failidest välja filtreerida," ütlesid teadlased.
Microsoft vastab
Kui Microsoftilt küsiti, kommenteeris Microsoft Proofpointi andmetel, et loendite versioonimisseadete konfiguratsioonifunktsioonid töötavad ettenähtud viisil. See lisas, et Microsofti toe abiga saab failide vanemaid versioone potentsiaalselt taastada ja taastada veel 14 päeva jooksul, tsiteerivad teadlased Microsofti.
Teadlased vastasid avalduses: "Proofpoint üritas selle protsessi kaudu (st Microsofti toega) vanu versioone hankida ja taastada, kuid see ei õnnestunud. Teiseks, isegi kui versioonimisseadete konfiguratsiooni töövoog on ette nähtud, on Proofpoint näidanud, et ründajad võivad seda pilve lunavara eesmärkidel kuritarvitada.
Sammud Microsoft Office 365 kaitsmiseks
Proofpoint soovitab kasutajatel tugevdada oma Office 365 kontosid, kehtestades tugeva paroolipoliitika, lubades mitmefaktorilise autentimise (MFA) ja hoides regulaarselt tundlike andmete välist varukoopiat.
Teadlane soovitas ka "reageerimis- ja uurimisstrateegiaid", mida tuleks rakendada, kui konfiguratsioonis muudatus käivitatakse.
- Suurendage mõjutatud dokumenditeekide taastatavaid versioone.
- Tuvastage kõrge riskiga konfiguratsioon, mis on muudetud ja varem ohustatud kontod.
- Kõikide kahtlaste kolmanda osapoole rakenduste OAuthi märgid tuleks viivitamatult tühistada.
- Otsige eeskirjade rikkumise mustreid pilves, meilis, veebis ja lõpp-punktis mis tahes kasutaja poolt.
"Nii lõpp-punktis kui ka pilves hübriidses olekus salvestatud failid, näiteks pilvesünkroonimiskaustade kaudu, vähendavad selle uudse riski mõju, kuna ründajal pole juurdepääsu kohalikele/lõpp-punkti failidele," ütlesid teadlased. "Täieliku lunarahavoo teostamiseks peab ründaja lõpp-punktile ja pilve salvestatud failidele juurdepääsu saamiseks lõpp-punkti ja pilvekontot kahjustama."
