Sebuah "fungsi yang berpotensi berbahaya" yang dilaporkan memungkinkan penyerang meluncurkan serangan pada infrastruktur cloud dan file tebusan yang disimpan di SharePoint dan OneDrive.
Peneliti memperingatkan penyerang dapat menyalahgunakan fungsionalitas Microsoft Office 365 untuk menargetkan file yang disimpan di SharePoint dan OneDrive dalam serangan ransomware.
File-file tersebut, yang disimpan melalui "simpan otomatis" dan dicadangkan di cloud, biasanya membuat pengguna akhir merasa bahwa data tayangan terlindung dari serangan ransomware. Namun, para peneliti mengatakan bahwa tidak selalu demikian dan file yang disimpan di SharePoint dan OneDrive dapat rentan terhadap serangan ransomware.
Penelitian ini berasal dari Proofpoint, yang memaparkan apa yang dikatakannya sebagai "fungsi yang berpotensi berbahaya" dalam sebuah laporan dirilis minggu lalu.
“Proofpoint telah menemukan bagian fungsionalitas yang berpotensi berbahaya di Office 365 atau Microsoft 365 yang memungkinkan ransomware mengenkripsi file yang disimpan di SharePoint dan OneDrive dengan cara yang membuatnya tidak dapat dipulihkan tanpa cadangan khusus atau kunci dekripsi dari penyerang,” menurut para peneliti.
Bagaimana Rantai Serangan Bekerja
Rantai serangan mengasumsikan yang terburuk dan dimulai dengan kompromi awal kredensial akun pengguna Office 365. Ini mengarah pada pengambilalihan akun, kemudian penemuan data dalam lingkungan SharePoint dan OneDrive dan akhirnya pelanggaran data dan serangan ransomware.
Mengapa ini menjadi masalah besar, menurut Proofpoint, adalah karena alat seperti pencadangan cloud melalui fitur "simpan otomatis" Microsoft telah menjadi bagian dari praktik terbaik untuk mencegah serangan ransomware. Jika data dikunci pada titik akhir, akan ada cadangan cloud untuk menyelamatkan hari. Mengonfigurasi berapa banyak versi file yang disimpan di OneDrive dan SharePoint semakin mengurangi kerusakan akibat serangan. Kemungkinan dan musuh mengenkripsi versi sebelumnya dari file yang disimpan secara online mengurangi kemungkinan serangan ransomware yang berhasil.
Proofpoint mengatakan tindakan pencegahan ini dapat dihindarkan melalui modifikasi penyerang batas versi, yang memungkinkan penyerang mengenkripsi semua versi file yang diketahui.
“Sebagian besar akun OneDrive memiliki batas versi default 500 [pencadangan versi]. Penyerang dapat mengedit file dalam pustaka dokumen 501 kali. Sekarang, versi asli (pra-penyerang) dari setiap file berusia 501 versi, dan karena itu tidak lagi dapat dipulihkan,” tulis para peneliti. “Enkripsi file setelah masing-masing dari 501 suntingan. Sekarang semua 500 versi yang dapat dipulihkan dienkripsi. Organisasi tidak dapat secara mandiri memulihkan versi file asli (pra-penyerang) meskipun mereka berusaha meningkatkan batas versi melebihi jumlah versi yang diedit oleh penyerang. Dalam hal ini, bahkan jika batas versi ditingkatkan menjadi 501 atau lebih, file yang disimpan 501 versi atau lebih lama tidak dapat dipulihkan,” tulis mereka.
Musuh dengan akses ke akun yang disusupi dapat menyalahgunakan mekanisme pembuatan versi yang ditemukan di bawah pengaturan daftar dan memengaruhi semua file di pustaka dokumen. Pengaturan versi dapat dimodifikasi tanpa memerlukan hak administrator, penyerang dapat memanfaatkan ini dengan membuat terlalu banyak versi file atau mengenkripsi file lebih dari batas versi. Misalnya, jika batas versi yang dikurangi diatur ke 1 maka penyerang mengenkripsi file dua kali. “Dalam beberapa kasus, penyerang dapat mengekstrak file yang tidak terenkripsi sebagai bagian dari taktik pemerasan ganda,” kata peneliti.
Microsoft Merespons
Ketika ditanya, Microsoft berkomentar "fungsionalitas konfigurasi untuk pengaturan versi dalam daftar berfungsi sebagaimana dimaksud," menurut Proofpoint. Ia menambahkan "versi file yang lebih lama dapat berpotensi dipulihkan dan dipulihkan selama 14 hari tambahan dengan bantuan Dukungan Microsoft," para peneliti mengutip Microsoft.
Para peneliti membalas dalam sebuah pernyataan: “Proofpoint berusaha untuk mengambil dan memulihkan versi lama melalui proses ini (yaitu, dengan Dukungan Microsoft) dan tidak berhasil. Kedua, bahkan jika alur kerja konfigurasi pengaturan versi sesuai dengan yang diinginkan, Proofpoint telah menunjukkan bahwa itu dapat disalahgunakan oleh penyerang untuk tujuan ransomware cloud.”
Langkah-langkah untuk Mengamankan Microsoft Office 365
Proofpoint merekomendasikan pengguna untuk memperkuat akun Office 365 mereka dengan menerapkan kebijakan kata sandi yang kuat, mengaktifkan otentikasi multi-faktor (MFA), dan secara teratur mempertahankan cadangan eksternal data sensitif.
Peneliti juga menyarankan 'strategi respon dan investigasi' yang harus diterapkan jika terjadi perubahan konfigurasi.
- Tingkatkan versi yang dapat dipulihkan untuk pustaka dokumen yang terpengaruh.
- Identifikasi konfigurasi berisiko tinggi yang diubah dan akun yang sebelumnya disusupi.
- Token OAuth untuk aplikasi pihak ketiga yang mencurigakan harus segera dicabut.
- Cari pola pelanggaran kebijakan di cloud, email, web, dan titik akhir oleh pengguna mana pun.
“File yang disimpan dalam keadaan hibrid pada titik akhir dan cloud seperti melalui folder sinkronisasi cloud akan mengurangi dampak risiko baru ini karena penyerang tidak akan memiliki akses ke file lokal/titik akhir,” kata para peneliti. “Untuk melakukan aliran tebusan penuh, penyerang harus mengkompromikan titik akhir dan akun cloud untuk mengakses titik akhir dan file yang disimpan di cloud.”
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- hacks
- Kaspersky
- malware
- mcafe
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- VPN
- website security
- zephyrnet.dll
