A bejelentett „potenciálisan veszélyes funkció” lehetővé teszi a támadó számára, hogy támadást indítson a felhőinfrastruktúra és a SharePointban és a OneDrive-ban tárolt váltságdíj-fájlok ellen.
A kutatók arra figyelmeztetik, hogy a támadók visszaélhetnek a Microsoft Office 365 funkcióival, hogy a SharePointban és a OneDrive-on tárolt fájlokat zsarolóvírus-támadásokkal célozzák meg.
Az „automatikus mentéssel” tárolt és a felhőben mentett fájlok általában azt a benyomást hagyják a végfelhasználóknak, hogy az adatok védettek a zsarolóvírus-támadásokkal szemben. A kutatók szerint azonban ez nem mindig így van, és a SharePoint-on és a OneDrive-on tárolt fájlok sebezhetőek lehetnek a zsarolóvírus-támadásokkal szemben.
A kutatás a Proofpointtól származik, amely azt állítja, hogy „potenciálisan veszélyes funkcionalitás” jelentésben megjelent a múlt héten.
A kutatók szerint a Proofpoint felfedezett egy potenciálisan veszélyes funkciót az Office 365-ben vagy a Microsoft 365-ben, amely lehetővé teszi a zsarolóvírusok számára, hogy olyan módon titkosítsák a SharePointban és a OneDrive-ban tárolt fájlokat, hogy azok dedikált biztonsági mentések vagy a támadó visszafejtési kulcsa nélkül visszaállíthatatlanok legyenek.
Hogyan működik a támadási lánc
A támadási lánc feltételezi a legrosszabbat, és az Office 365-felhasználói fiók hitelesítő adatainak kezdeti kompromisszumával kezdődik. Ez fiókátvételhez, majd adatok felfedezéséhez vezet a SharePoint és OneDrive környezetben, végül pedig adatszivárgáshoz és zsarolóvírus-támadáshoz.
A Proofpoint szerint ez az oka annak, hogy az olyan eszközök, mint a felhőalapú biztonsági mentések a Microsoft „auto-save” funkcióján keresztül, részét képezik a zsarolóvírus-támadások megelőzésének bevált gyakorlatának. Ha az adatok zárolva vannak egy végponton, felhőalapú biztonsági mentés készül a nap megmentésére. Ha konfigurálja, hogy egy fájl hány verziója kerüljön mentésre a OneDrive-on és a SharePoint-on, tovább csökkenti a támadások által okozott károkat. Az online tárolt fájlok korábbi verzióinak a valószínűsége és az ellenfél titkosítása csökkenti a sikeres zsarolóvírus-támadás valószínűségét.
A Proofpoint szerint ezek az óvintézkedések kikerülhetők a támadó módosításával verziókezelési korlátok, amely lehetővé teszi a támadó számára a fájl összes ismert verziójának titkosítását.
„A legtöbb OneDrive-fiók alapértelmezett verziókorlátja 500 [verziómentés]. A támadó 501 alkalommal szerkeszthet fájlokat a dokumentumtárban. Mostanra az egyes fájlok eredeti (támadó előtti) verziója 501 verzióval régi, ezért már nem állítható vissza” – írták a kutatók. „Titkosítsa a fájl(oka)t az 501-es szerkesztések mindegyike után. Most mind az 500 helyreállítható verzió titkosítva van. A szervezetek nem tudják önállóan visszaállítani a fájlok eredeti (támadó előtti) verzióját, még akkor sem, ha a támadó által szerkesztett verziószámon túlmenően megkísérlik a verziókorlátot növelni. Ebben az esetben még ha a verziókorlátot 501-re vagy többre emelték is, az 501-es vagy régebbi verziójú fájl(ok) nem állíthatók vissza” – írták.
A feltört fiókokhoz hozzáféréssel rendelkező ellenfél visszaélhet a verziókezelési mechanizmussal, amely a lista beállításait és a dokumentumtárban lévő összes fájlra hatással van. A verziókezelési beállítás rendszergazdai jogosultság nélkül módosítható, a támadó ezt kihasználhatja, ha túl sok verziót hoz létre egy fájlból, vagy a fájlt a verziószám határértékénél nagyobb mértékben titkosítja. Például, ha a csökkentett verziókorlát 1-re van állítva, akkor a támadó kétszer titkosítja a fájlt. "Egyes esetekben a támadó kettős zsarolási taktika részeként kiszivároghatja a titkosítatlan fájlokat" - mondták a kutatók.
A Microsoft válaszol
Arra a kérdésre a Microsoft megjegyezte, hogy „a listákon belüli verziókezelési beállítások konfigurációs funkciója rendeltetésszerűen működik” a Proofpoint szerint. Hozzátette: „a fájlok régebbi verziói még további 14 napig helyreállíthatók és visszaállíthatók a Microsoft támogatásának segítségével” – idézik a kutatók a Microsoftot.
A kutatók egy nyilatkozatban ellenkeztek: „A Proofpoint megpróbálta lekérni és visszaállítani a régi verziókat ezzel a folyamattal (azaz a Microsoft támogatásával), de nem járt sikerrel. Másodszor, még ha a verziókezelési beállítások konfigurációs munkafolyamata is a szándéknak megfelelően történik, a Proofpoint megmutatta, hogy a támadók visszaélhetnek vele felhő zsarolóvírusok céljára.”
A Microsoft Office 365 biztonságossá tételének lépései
A Proofpoint azt javasolja a felhasználóknak, hogy erősítsék meg Office 365-fiókjukat erős jelszószabályok érvényesítésével, a többtényezős hitelesítés (MFA) engedélyezésével, valamint az érzékeny adatok külső biztonsági mentésének rendszeres karbantartásával.
A kutató azt is javasolta, hogy milyen „válasz- és vizsgálati stratégiákat” kell végrehajtani, ha a konfigurációban változás következik be.
- Növelje az érintett dokumentumkönyvtárak visszaállítható verzióit.
- Azonosítsa a módosított és korábban feltört fiókok magas kockázatú konfigurációját.
- A gyanús, harmadik féltől származó alkalmazásokhoz tartozó OAuth-tokeneket azonnal vissza kell vonni.
- Keressen irányelvsértési mintákat a felhőben, az e-mailben, a weben és a végpontokon bármely felhasználó által.
„A végponton és a felhőn hibrid állapotban, például felhőszinkronizálási mappákon keresztül tárolt fájlok csökkentik ennek az új kockázatnak a hatását, mivel a támadó nem fér hozzá a helyi/végponti fájlokhoz” – mondták a kutatók. "A teljes váltságdíj-folyamat végrehajtásához a támadónak veszélyeztetnie kell a végpontot és a felhőfiókot, hogy hozzáférjen a végponthoz és a felhőben tárolt fájlokhoz."
