A meldde dat een "potentieel gevaarlijk stuk functionaliteit" een aanvaller in staat stelt een aanval op de cloudinfrastructuur uit te voeren en bestanden die zijn opgeslagen in SharePoint en OneDrive los te kopen.
Onderzoekers waarschuwen dat aanvallers de Microsoft Office 365-functionaliteit kunnen misbruiken om bestanden die zijn opgeslagen op SharePoint en OneDrive te targeten bij ransomware-aanvallen.
Die bestanden, opgeslagen via "auto-save" en geback-upt in de cloud, geven eindgebruikers doorgaans de indruk dat gegevens zijn beschermd tegen een ransomware-aanval. Onderzoekers zeggen echter dat dit niet altijd het geval is en dat bestanden die zijn opgeslagen op SharePoint en OneDrive kwetsbaar kunnen zijn voor een ransomware-aanval.
Het onderzoek komt van Proofpoint, dat uiteenzet wat het zegt als "potentieel gevaarlijk stuk functionaliteit" in een rapport vorige week vrijgegeven.
"Proofpoint heeft een potentieel gevaarlijk stuk functionaliteit ontdekt in Office 365 of Microsoft 365 waarmee ransomware bestanden die zijn opgeslagen op SharePoint en OneDrive zodanig kan versleutelen dat ze niet meer kunnen worden hersteld zonder speciale back-ups of een decoderingssleutel van de aanvaller", aldus onderzoekers.
Hoe de aanvalsketen werkt
De aanvalsketen gaat uit van het ergste en begint met een eerste aantasting van de accountgegevens van een Office 365-gebruiker. Dit leidt tot een accountovername, vervolgens ontdekking van gegevens binnen de SharePoint- en OneDrive-omgeving en uiteindelijk een datalek en ransomware-aanval.
Waarom dit een groot probleem is, stelt Proofpoint, is dat tools zoals cloudback-ups via de "auto-save" -functie van Microsoft deel uitmaakten van best-practices voor het voorkomen van een ransomware-aanval. Als gegevens op een eindpunt zijn vergrendeld, zou er een cloudback-up zijn om de dag te redden. Door te configureren hoeveel versies van een bestand worden opgeslagen op OneDrive en SharePoint, wordt de schade van een aanval verder verminderd. De kans dat en de tegenstander eerdere versies van een online opgeslagen bestand versleutelt, verkleint de kans op een succesvolle ransomware-aanval.
Proofpoint zegt dat deze voorzorgsmaatregelen kunnen worden omzeild door een aanvaller aan te passen limieten voor versiebeheer, waarmee een aanvaller alle bekende versies van een bestand kan versleutelen.
"De meeste OneDrive-accounts hebben een standaardversielimiet van 500 [versieback-ups]. Een aanvaller kan bestanden binnen een documentbibliotheek 501 keer bewerken. Nu is de originele (pre-attacker) versie van elk bestand 501 versies oud, en daarom niet langer herstelbaar”, schreven onderzoekers. "Versleutel de bestanden na elk van de 501-bewerkingen. Nu zijn alle 500 herstelbare versies gecodeerd. Organisaties kunnen niet zelfstandig de originele (pre-attacker) versie van de bestanden herstellen, zelfs als ze proberen de versielimieten te verhogen tot boven het aantal versies dat door de aanvaller is bewerkt. In dit geval, zelfs als de versielimiet werd verhoogd tot 501 of meer, kunnen de bestanden die zijn opgeslagen met 501-versies of ouder niet worden hersteld”, schreven ze.
Een tegenstander met toegang tot gecompromitteerde accounts kan misbruik maken van het versiemechanisme dat te vinden is onder de lijst instellingen en beïnvloedt alle bestanden in de documentbibliotheek. De versiebeheerinstelling kan worden gewijzigd zonder beheerdersrechten. Een aanvaller kan hier misbruik van maken door te veel versies van een bestand te maken of het bestand meer te coderen dan de versielimiet. Als de beperkte versielimiet bijvoorbeeld is ingesteld op 1, versleutelt de aanvaller het bestand twee keer. "In sommige gevallen kan de aanvaller de niet-versleutelde bestanden exfiltreren als onderdeel van een dubbele afpersingstactiek", aldus onderzoekers.
Microsoft reageert
Desgevraagd merkte Microsoft op dat "de configuratiefunctionaliteit voor versie-instellingen binnen lijsten werkt zoals bedoeld", aldus Proofpoint. Het voegde eraan toe dat "oudere versies van bestanden mogelijk nog 14 dagen kunnen worden hersteld en hersteld met de hulp van Microsoft Support", citeren onderzoekers Microsoft.
Onderzoekers reageerden in een verklaring: "Proofpoint probeerde via dit proces oude versies op te halen en te herstellen (dwz met Microsoft Support) en was niet succesvol. Ten tweede, zelfs als de configuratieworkflow voor versie-instellingen is zoals bedoeld, heeft Proofpoint aangetoond dat deze door aanvallers kan worden misbruikt voor doeleinden van cloudransomware.”
Stappen om Microsoft Office 365 te beveiligen
Proofpoint raadt gebruikers aan hun Office 365-accounts te versterken door een sterk wachtwoordbeleid af te dwingen, multi-factor authenticatie (MFA) in te schakelen en regelmatig een externe back-up van gevoelige gegevens te onderhouden.
De onderzoeker suggereerde ook de 'reactie- en onderzoeksstrategieën' die moeten worden geïmplementeerd als een wijziging in de configuratie wordt geactiveerd.
- Verhoog het aantal herstelbare versies voor de betrokken documentbibliotheken.
- Identificeer de risicovolle configuratie die is gewijzigd en eerder gecompromitteerde accounts.
- OAuth-tokens voor verdachte apps van derden moeten onmiddellijk worden ingetrokken.
- Ga op zoek naar patronen van beleidsschendingen in de cloud, e-mail, internet en eindpunten door elke gebruiker.
"Bestanden die in een hybride staat zijn opgeslagen op zowel het eindpunt als de cloud, zoals via cloudsynchronisatiemappen, zullen de impact van dit nieuwe risico verminderen omdat de aanvaller geen toegang heeft tot de lokale / eindpuntbestanden", aldus de onderzoekers. "Om een volledige losgeldstroom uit te voeren, zal de aanvaller het eindpunt en het cloudaccount moeten compromitteren om toegang te krijgen tot het eindpunt en de in de cloud opgeslagen bestanden."
