Une « fonctionnalité potentiellement dangereuse » signalée permet à un attaquant de lancer une attaque sur l'infrastructure cloud et les fichiers de rançon stockés dans SharePoint et OneDrive.
Les chercheurs avertissent que les attaquants peuvent abuser de la fonctionnalité Microsoft Office 365 pour cibler les fichiers stockés sur SharePoint et OneDrive dans des attaques de ransomware.
Ces fichiers, stockés via une "sauvegarde automatique" et sauvegardés dans le cloud, laissent généralement aux utilisateurs finaux les données d'impression protégées contre une attaque de ransomware. Cependant, les chercheurs affirment que ce n'est pas toujours le cas et que les fichiers stockés sur SharePoint et OneDrive peuvent être vulnérables à une attaque de ransomware.
La recherche provient de Proofpoint, qui énonce ce qu'il dit être "une fonctionnalité potentiellement dangereuse" dans un rapport publié la semaine dernière.
« Proofpoint a découvert une fonctionnalité potentiellement dangereuse dans Office 365 ou Microsoft 365 qui permet au ransomware de chiffrer les fichiers stockés sur SharePoint et OneDrive d'une manière qui les rend irrécupérables sans sauvegardes dédiées ou clé de déchiffrement de l'attaquant », selon les chercheurs.
Comment fonctionne la chaîne d'attaque
La chaîne d'attaque suppose le pire et commence par une compromission initiale des informations d'identification du compte d'un utilisateur Office 365. Cela conduit à une prise de contrôle de compte, puis à la découverte de données dans l'environnement SharePoint et OneDrive et finalement à une violation de données et à une attaque de ransomware.
Selon Proofpoint, la raison pour laquelle c'est un gros problème, c'est que des outils tels que les sauvegardes dans le cloud via la fonction "d'enregistrement automatique" de Microsoft font partie des meilleures pratiques pour empêcher une attaque de ransomware. Si les données étaient verrouillées sur un point de terminaison, il y aurait une sauvegarde dans le cloud pour sauver la situation. La configuration du nombre de versions d'un fichier enregistrées sur OneDrive et SharePoint réduit encore les dommages causés par une attaque. La probabilité et l'adversaire de crypter les versions précédentes d'un fichier stocké en ligne réduisent la probabilité d'une attaque de ransomware réussie.
Proofpoint indique que ces précautions peuvent être contournées par un attaquant modifiant limites de version, qui permet à un attaquant de chiffrer toutes les versions connues d'un fichier.
"La plupart des comptes OneDrive ont une limite de version par défaut de 500 [sauvegardes de version]. Un attaquant pourrait modifier les fichiers d'une bibliothèque de documents 501 fois. Désormais, la version originale (avant l'attaquant) de chaque fichier a 501 versions et ne peut donc plus être restaurée", ont écrit les chercheurs. "Crypter le(s) fichier(s) après chacune des 501 éditions. Désormais, les 500 versions restaurables sont cryptées. Les organisations ne peuvent pas restaurer indépendamment la version originale (avant l'attaquant) des fichiers, même si elles tentent d'augmenter les limites de version au-delà du nombre de versions modifiées par l'attaquant. Dans ce cas, même si la limite de version a été augmentée à 501 ou plus, le ou les fichiers enregistrés 501 versions ou plus ne peuvent pas être restaurés », ont-ils écrit.
Un adversaire ayant accès à des comptes compromis peut abuser du mécanisme de gestion des versions trouvé sous le paramètres de la liste et affecte tous les fichiers de la bibliothèque de documents. Le paramètre de version peut être modifié sans nécessiter de privilège d'administrateur, un attaquant peut en tirer parti en créant trop de versions d'un fichier ou en cryptant le fichier au-delà de la limite de version. Par exemple, si la limite de version réduite est définie sur 1, l'attaquant crypte le fichier deux fois. "Dans certains cas, l'attaquant peut exfiltrer les fichiers non chiffrés dans le cadre d'une double tactique d'extorsion", ont déclaré les chercheurs.
Microsoft répond
Lorsqu'on lui a demandé, Microsoft a commenté "la fonctionnalité de configuration pour les paramètres de version dans les listes fonctionne comme prévu", selon Proofpoint. Il a ajouté que "les anciennes versions des fichiers peuvent être potentiellement récupérées et restaurées pendant 14 jours supplémentaires avec l'aide du support Microsoft", les chercheurs citent Microsoft.
Les chercheurs ont répliqué dans une déclaration : « Proofpoint a tenté de récupérer et de restaurer les anciennes versions via ce processus (c'est-à-dire avec le support Microsoft) et n'a pas réussi. Deuxièmement, même si le flux de travail de configuration des paramètres de gestion des versions est comme prévu, Proofpoint a montré qu'il peut être abusé par des attaquants à des fins de ransomware dans le cloud.
Étapes pour sécuriser Microsoft Office 365
Proofpoint recommande aux utilisateurs de renforcer leurs comptes Office 365 en appliquant une politique de mots de passe forts, en activant l'authentification multifacteur (MFA) et en maintenant régulièrement la sauvegarde externe des données sensibles.
Le chercheur a également suggéré les "stratégies de réponse et d'investigation" qui devraient être mises en œuvre si un changement de configuration se déclenchait.
- Augmentez les versions restaurables pour les bibliothèques de documents concernées.
- Identifiez la configuration à haut risque qui est modifiée et les comptes précédemment compromis.
- Les jetons OAuth pour toute application tierce suspecte doivent être immédiatement révoqués.
- Recherchez les modèles de violation des politiques dans le cloud, les e-mails, le Web et les points de terminaison par n'importe quel utilisateur.
"Les fichiers stockés dans un état hybride à la fois sur le point de terminaison et le cloud, par exemple via des dossiers de synchronisation dans le cloud, réduiront l'impact de ce nouveau risque car l'attaquant n'aura pas accès aux fichiers locaux/de point de terminaison", ont déclaré les chercheurs. "Pour effectuer un flux de rançon complet, l'attaquant devra compromettre le point de terminaison et le compte cloud pour accéder au point de terminaison et aux fichiers stockés dans le cloud."
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- hacks
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
- zéphyrnet
