דיווח על "חלק פוטנציאלי מסוכן של פונקציונליות" מאפשר לתוקף להפעיל התקפה על תשתית ענן וקבצי כופר המאוחסנים ב-SharePoint וב-OneDrive.
חוקרים מזהירים שתוקפים יכולים להשתמש לרעה בפונקציונליות של Microsoft Office 365 כדי למקד קבצים המאוחסנים ב-SharePoint ו-OneDrive בהתקפות כופר.
קבצים אלה, המאוחסנים באמצעות "שמירה אוטומטית" ומגובים בענן, בדרך כלל משאירים את משתמשי הקצה עם נתוני ההתרשמות מוגנים מפני התקפת תוכנת כופר. עם זאת, חוקרים אומרים שזה לא תמיד המקרה וקבצים המאוחסנים ב-SharePoint וב-OneDrive יכולים להיות פגיעים להתקפת תוכנת כופר.
המחקר מגיע מ-Proofpoint, שמפרטת את מה שהוא אומר הוא "חלק פוטנציאלי מסוכן של פונקציונליות" בדוח שוחרר בשבוע שעבר.
"Proofpoint גילתה פונקציונליות שעלולה להיות מסוכנת ב-Office 365 או Microsoft 365 המאפשרת לתוכנת כופר להצפין קבצים המאוחסנים ב-SharePoint וב-OneDrive באופן שהופך אותם לבלתי ניתנים לשחזור ללא גיבויים ייעודיים או מפתח פענוח מהתוקף", לדברי החוקרים.
כיצד פועלת שרשרת ההתקפה
שרשרת ההתקפה מניחה את הגרוע ביותר ומתחילה בפשרה ראשונית של אישורי חשבון של משתמש Office 365. זה מוביל להשתלטות על החשבון, לאחר מכן לגילוי נתונים בסביבת SharePoint ו-OneDrive ובסופו של דבר לפריצת נתונים ותקיפת תוכנות כופר.
למה זה עניין גדול, טוען Proofpoint, היא שכלים כגון גיבויים בענן באמצעות תכונת ה"שמירה האוטומטית" של מיקרוסופט היו חלק משיטות עבודה מומלצות למניעת התקפת תוכנת כופר. אם הנתונים יינעלו בנקודת קצה, יהיה גיבוי בענן כדי להציל את היום. קביעת התצורה של כמה גרסאות של קובץ נשמרות ב-OneDrive וב-SharePoint מפחיתה עוד יותר את הנזק למתקפה. הסבירות להצפין של גרסאות קודמות של קובץ שמאוחסן באינטרנט והיריב מפחית את הסבירות למתקפת כופר מוצלחת.
Proofpoint אומר שניתן לעקוף את אמצעי הזהירות הללו באמצעות שינוי תוקף מגבלות גרסאות, המאפשר לתוקף להצפין את כל הגרסאות הידועות של קובץ.
"לרוב חשבונות OneDrive יש מגבלת גרסאות ברירת מחדל של 500 [גיבוי גרסאות]. תוקף יכול לערוך קבצים בתוך ספריית מסמכים 501 פעמים. כעת, הגרסה המקורית (טרום התוקף) של כל קובץ ישנה ב-501 גרסאות, ולכן אינה ניתנת לשחזור", כתבו החוקרים. "הצפין את הקבצים לאחר כל אחת מ-501 העריכות. כעת כל 500 הגרסאות הניתנות לשחזור מוצפנות. ארגונים אינם יכולים לשחזר באופן עצמאי את הגרסה המקורית (טרום התוקף) של הקבצים גם אם הם מנסים להגדיל את מגבלות הגרסה מעבר למספר הגרסאות שערך התוקף. במקרה זה, גם אם מגבלת הגרסאות הוגדלה ל-501 או יותר, לא ניתן לשחזר את הקבצים שנשמרו 501 גרסאות או יותר", כתבו.
יריב עם גישה לחשבונות שנפגעו יכול להשתמש לרעה במנגנון ניהול הגירסאות שנמצא תחת הגדרות רשימה ומשפיע על כל הקבצים בספריית המסמכים. ניתן לשנות את הגדרת ניהול הגרסאות מבלי לדרוש הרשאות מנהל, תוקף יכול למנף זאת על ידי יצירת גרסאות רבות מדי של קובץ או הצפנת הקובץ מעבר למגבלת ניהול הגרסאות. לדוגמה, אם מגבלת הגרסה המופחתת מוגדרת ל-1 אז התוקף מצפין את הקובץ פעמיים. "במקרים מסוימים, התוקף עלול לסנן את הקבצים הלא מוצפנים כחלק מטקטיקה של סחיטה כפולה", אמרו חוקרים
מיקרוסופט מגיבה
כשנשאלה, מיקרוסופט העירה כי "פונקציונליות התצורה של הגדרות גרסאות בתוך רשימות פועלת כמתוכנן", לפי Proofpoint. היא הוסיפה "אפשר לשחזר ולשחזר גרסאות ישנות יותר של קבצים למשך 14 ימים נוספים בסיוע התמיכה של מיקרוסופט", מצטטים חוקרים את מיקרוסופט.
חוקרים טענו בהצהרה: "Proofpoint ניסתה לאחזר ולשחזר גרסאות ישנות באמצעות תהליך זה (כלומר, עם תמיכת Microsoft) ולא הצליחה. שנית, גם אם זרימת העבודה של תצורת הגדרות הגרסאות היא כפי שנועדה, Proofpoint הראתה שהיא יכולה להיות מנוצלת לרעה על ידי תוקפים למטרות כופר בענן."
שלבים לאבטחת Microsoft Office 365
Proofpoint ממליצה למשתמשים לחזק את חשבונות Office 365 שלהם על ידי אכיפת מדיניות סיסמאות חזקה, הפעלת אימות רב-גורמי (MFA) ותחזוקה קבועה של גיבוי חיצוני של נתונים רגישים.
החוקר גם הציע את 'אסטרטגיות התגובה והחקירה' שיש ליישם אם מופעל שינוי בתצורה.
- הגדל את הגרסאות הניתנות לשחזור עבור ספריות המסמכים המושפעות.
- זהה את התצורה בסיכון גבוה ששונתה וחשבונות שנפגעו בעבר.
- יש לבטל מיד אסימוני OAuth עבור אפליקציות צד שלישי חשודות.
- חפש דפוסי הפרת מדיניות בענן, אימייל, אינטרנט ונקודת קצה על ידי כל משתמש.
"קבצים המאוחסנים במצב היברידי הן בנקודת הקצה והן בענן, כגון באמצעות תיקיות סנכרון בענן, יצמצמו את ההשפעה של הסיכון החדש הזה מכיוון שלתוקף לא תהיה גישה לקבצים המקומיים/נקודות הקצה", אמרו החוקרים. "כדי לבצע זרימת כופר מלאה, התוקף יצטרך לסכן את נקודת הקצה ואת חשבון הענן כדי לגשת לנקודת הקצה ולקבצים המאוחסנים בענן."
