ऑफिस 365 कॉन्फिग लोफोल वनड्राइव, शेयरपॉइंट डेटा को रैंसमवेयर अटैक के लिए खोलता है

समय टिकट: 21 जून, 2022 8:34 बजे
स्रोत नोड: 1575451

एक रिपोर्ट की गई "कार्यक्षमता का संभावित रूप से खतरनाक टुकड़ा" एक हमलावर को क्लाउड इंफ्रास्ट्रक्चर और SharePoint और OneDrive में संग्रहीत फिरौती फ़ाइलों पर हमला करने की अनुमति देता है।

शोधकर्ता चेतावनी दे रहे हैं कि हमलावर रैंसमवेयर हमलों में SharePoint और OneDrive पर संग्रहीत फ़ाइलों को लक्षित करने के लिए Microsoft Office 365 कार्यक्षमता का दुरुपयोग कर सकते हैं।

वे फ़ाइलें, जो "ऑटो-सेव" के माध्यम से संग्रहीत होती हैं और क्लाउड में बैक-अप होती हैं, आम तौर पर अंतिम उपयोगकर्ताओं को इंप्रेशन डेटा के साथ रैंसमवेयर हमले से बचाती हैं। हालांकि, शोधकर्ताओं का कहना है कि हमेशा ऐसा नहीं होता है और SharePoint और OneDrive पर संग्रहीत फ़ाइलें रैंसमवेयर हमले की चपेट में आ सकती हैं।

शोध प्रूफपॉइंट से आता है, जो बताता है कि यह क्या कहता है "कार्यक्षमता का संभावित खतरनाक टुकड़ा" एक रिपोर्ट में पिछले सप्ताह जारी किया।

शोधकर्ताओं के अनुसार, "प्रूफ़पॉइंट ने Office 365 या Microsoft 365 में एक संभावित खतरनाक कार्यक्षमता की खोज की है जो रैंसमवेयर को SharePoint और OneDrive पर संग्रहीत फ़ाइलों को एन्क्रिप्ट करने की अनुमति देता है, जो उन्हें समर्पित बैकअप या हमलावर से डिक्रिप्शन कुंजी के बिना अप्राप्य बनाता है।"

अटैक चेन कैसे काम करती है

आक्रमण श्रृंखला सबसे खराब मानती है और एक Office 365 उपयोगकर्ता के खाता क्रेडेंशियल के प्रारंभिक समझौता के साथ शुरू होती है। इससे खाता अधिग्रहण होता है, फिर SharePoint और OneDrive परिवेश में डेटा की खोज होती है और अंततः डेटा और रैंसमवेयर हमले का उल्लंघन होता है।

प्रूफपॉइंट का तर्क है कि यह एक बड़ी बात क्यों है, यह है कि माइक्रोसॉफ्ट के "ऑटो-सेव" फीचर के माध्यम से क्लाउड बैकअप जैसे उपकरण रैंसमवेयर हमले को रोकने के लिए सर्वोत्तम प्रथाओं का हिस्सा रहे हैं। क्या डेटा को एंडपॉइंट पर लॉक-अप किया जाना चाहिए, दिन बचाने के लिए क्लाउड बैकअप होगा। OneDrive और SharePoint पर फ़ाइल के कितने संस्करण सहेजे गए हैं, इसे कॉन्फ़िगर करने से हमले के नुकसान को और कम किया जा सकता है। ऑनलाइन संग्रहीत फ़ाइल के पिछले संस्करणों को एन्क्रिप्ट करने की संभावना और विरोधी एक सफल रैंसमवेयर हमले की संभावना को कम करता है।

प्रूफपॉइंट का कहना है कि इन सावधानियों को एक हमलावर द्वारा संशोधित करके हटाया जा सकता है संस्करण सीमा, जो एक हमलावर को फ़ाइल के सभी ज्ञात संस्करणों को एन्क्रिप्ट करने की अनुमति देता है।

"अधिकांश OneDrive खातों की डिफ़ॉल्ट संस्करण सीमा 500 [संस्करण बैकअप] है। एक हमलावर किसी दस्तावेज़ लायब्रेरी में फ़ाइलों को 501 बार संपादित कर सकता है। अब, प्रत्येक फ़ाइल का मूल (पूर्व-हमलावर) संस्करण 501 संस्करण पुराना है, और इसलिए अब इसे बहाल नहीं किया जा सकता है, ”शोधकर्ताओं ने लिखा। "501 संपादनों में से प्रत्येक के बाद फ़ाइल को एन्क्रिप्ट करें। अब सभी 500 पुनर्स्थापना योग्य संस्करण एन्क्रिप्ट किए गए हैं। संगठन स्वतंत्र रूप से फ़ाइलों के मूल (पूर्व-हमलावर) संस्करण को पुनर्स्थापित नहीं कर सकते हैं, भले ही वे हमलावर द्वारा संपादित संस्करणों की संख्या से अधिक संस्करण सीमा बढ़ाने का प्रयास करते हैं। इस मामले में, भले ही संस्करण की सीमा 501 या उससे अधिक तक बढ़ा दी गई हो, 501 या पुराने संस्करणों को सहेजी गई फ़ाइल को पुनर्स्थापित नहीं किया जा सकता है, ”उन्होंने लिखा।

समझौता किए गए खातों तक पहुंच वाला एक विरोधी इसके तहत पाए जाने वाले संस्करण तंत्र का दुरुपयोग कर सकता है सूची सेटिंग और दस्तावेज़ पुस्तकालय में सभी फाइलों को प्रभावित करता है। संस्करण सेटिंग को व्यवस्थापकीय विशेषाधिकार की आवश्यकता के बिना संशोधित किया जा सकता है, एक हमलावर फ़ाइल के बहुत सारे संस्करण बनाकर या संस्करण सीमा से अधिक फ़ाइल को एन्क्रिप्ट करके इसका लाभ उठा सकता है। उदाहरण के लिए, यदि कम संस्करण सीमा 1 पर सेट है तो हमलावर फ़ाइल को दो बार एन्क्रिप्ट करता है। "कुछ मामलों में, हमलावर दोहरी जबरन वसूली की रणनीति के हिस्से के रूप में अनएन्क्रिप्टेड फाइलों को बाहर निकाल सकता है," शोधकर्ताओं ने कहा

माइक्रोसॉफ्ट ने जवाब दिया

पूछे जाने पर, माइक्रोसॉफ्ट ने टिप्पणी की, "सूचियों के भीतर संस्करण सेटिंग्स के लिए कॉन्फ़िगरेशन कार्यक्षमता इरादा के अनुसार काम कर रही है," प्रूफपॉइंट के अनुसार। इसमें कहा गया है कि "फाइलों के पुराने संस्करणों को संभावित रूप से पुनर्प्राप्त किया जा सकता है और Microsoft समर्थन की सहायता से अतिरिक्त 14 दिनों के लिए पुनर्स्थापित किया जा सकता है," शोधकर्ताओं ने Microsoft को उद्धृत किया।

शोधकर्ताओं ने एक बयान में इसका विरोध किया: "प्रूफपॉइंट ने इस प्रक्रिया के माध्यम से पुराने संस्करणों को पुनः प्राप्त करने और पुनर्स्थापित करने का प्रयास किया (यानी, माइक्रोसॉफ्ट समर्थन के साथ) और सफल नहीं था। दूसरे, भले ही वर्जनिंग सेटिंग्स कॉन्फ़िगरेशन वर्कफ़्लो इरादा के अनुसार हो, प्रूफपॉइंट ने दिखाया है कि क्लाउड रैंसमवेयर के उद्देश्य से हमलावरों द्वारा इसका दुरुपयोग किया जा सकता है। ”

माइक्रोसॉफ्ट ऑफिस 365 को सुरक्षित करने के लिए कदम

प्रूफपॉइंट उपयोगकर्ताओं को एक मजबूत पासवर्ड नीति लागू करके, बहु-कारक प्रमाणीकरण (एमएफए) को सक्षम करके और संवेदनशील डेटा के बाहरी बैकअप को नियमित रूप से बनाए रखते हुए अपने कार्यालय 365 खातों को मजबूत करने की सलाह देता है।

शोधकर्ता ने 'प्रतिक्रिया और जांच रणनीतियों' का भी सुझाव दिया, जिन्हें लागू किया जाना चाहिए यदि कॉन्फ़िगरेशन में परिवर्तन शुरू हो जाता है।

  • प्रभावित दस्तावेज़ लायब्रेरी के लिए पुनर्स्थापित करने योग्य संस्करण बढ़ाएँ।
  • उन उच्च-जोखिम वाले कॉन्फ़िगरेशन की पहचान करें जिन्हें बदल दिया गया है और पहले से छेड़छाड़ किए गए खाते हैं।
  • किसी भी संदिग्ध तृतीय-पक्ष एप्लिकेशन के लिए OAuth टोकन तुरंत निरस्त कर दिए जाने चाहिए।
  • किसी भी उपयोगकर्ता द्वारा क्लाउड, ईमेल, वेब और एंडपॉइंट पर नीति उल्लंघन पैटर्न की तलाश करें।

शोधकर्ताओं ने कहा, "एंडपॉइंट और क्लाउड दोनों पर हाइब्रिड स्थिति में संग्रहीत फाइलें जैसे क्लाउड सिंक फ़ोल्डर्स के माध्यम से इस उपन्यास जोखिम के प्रभाव को कम कर देगी क्योंकि हमलावर के पास स्थानीय / एंडपॉइंट फाइलों तक पहुंच नहीं होगी।" "एक पूर्ण फिरौती प्रवाह करने के लिए, हमलावर को समापन बिंदु और क्लाउड खाते तक पहुंचने के लिए समापन बिंदु और क्लाउड-संग्रहीत फ़ाइलों से समझौता करना होगा।"

समय टिकट:

से अधिक भाड़े