A brecha de configuração do Office 365 abre o OneDrive, dados do SharePoint para ataque de ransomware

Os pesquisadores estão alertando que os invasores podem abusar da funcionalidade do Microsoft Office 365 para direcionar arquivos armazenados no SharePoint e no OneDrive em ataques de ransomware.

Esses arquivos, armazenados por meio de “salvamento automático” e backup na nuvem, normalmente deixam os usuários finais com a impressão de que os dados estão protegidos contra um ataque de ransomware. No entanto, os pesquisadores dizem que nem sempre é o caso e os arquivos armazenados no SharePoint e no OneDrive podem ser vulneráveis ​​a um ataque de ransomware.

A pesquisa vem da Proofpoint, que estabelece o que diz ser “peça de funcionalidade potencialmente perigosa” em um relatório divulgado na semana passada.

“A Proofpoint descobriu uma funcionalidade potencialmente perigosa no Office 365 ou no Microsoft 365 que permite que o ransomware criptografe arquivos armazenados no SharePoint e OneDrive de uma maneira que os torna irrecuperáveis ​​sem backups dedicados ou uma chave de descriptografia do invasor”, segundo os pesquisadores.

Como funciona a cadeia de ataque

A cadeia de ataque assume o pior e começa com um comprometimento inicial das credenciais da conta de um usuário do Office 365. Isso leva a uma tomada de conta, descoberta de dados no ambiente do SharePoint e OneDrive e, eventualmente, uma violação de dados e ataque de ransomware.

Por que isso é um grande problema, argumenta a Proofpoint, é que ferramentas como backups em nuvem por meio do recurso de “salvamento automático” da Microsoft fazem parte das melhores práticas para evitar um ataque de ransomware. Se os dados forem bloqueados em um endpoint, haverá um backup na nuvem para salvar o dia. Configurar quantas versões de um arquivo são salvas no OneDrive e no SharePoint reduz ainda mais os danos causados ​​por um ataque. A probabilidade de um adversário criptografar versões anteriores de um arquivo armazenado online reduz a probabilidade de um ataque de ransomware bem-sucedido.

A Proofpoint diz que essas precauções podem ser evitadas por meio de um invasor modificando limites de versão, que permite que um invasor criptografe todas as versões conhecidas de um arquivo.

“A maioria das contas do OneDrive tem um limite de versão padrão de 500 [backups de versão]. Um invasor pode editar arquivos em uma biblioteca de documentos 501 vezes. Agora, a versão original (pré-atacante) de cada arquivo tem 501 versões antigas e, portanto, não pode mais ser restaurada”, escreveram os pesquisadores. “Criptografe o(s) arquivo(s) após cada uma das 501 edições. Agora, todas as 500 versões restauráveis ​​são criptografadas. As organizações não podem restaurar independentemente a versão original (pré-atacante) dos arquivos, mesmo que tentem aumentar os limites de versão além do número de versões editadas pelo invasor. Nesse caso, mesmo que o limite de versão tenha sido aumentado para 501 ou mais, os arquivos salvos em versões 501 ou mais antigas não podem ser restaurados”, escreveram.

Um adversário com acesso a contas comprometidas pode abusar do mecanismo de controle de versão encontrado no configurações da lista e afeta todos os arquivos na biblioteca de documentos. A configuração de versão pode ser modificada sem exigir privilégio de administrador, um invasor pode aproveitar isso criando muitas versões de um arquivo ou criptografando o arquivo mais do que o limite de versão. Por exemplo, se o limite de versão reduzida for definido como 1, o invasor criptografará o arquivo duas vezes. “Em alguns casos, o invasor pode exfiltrar os arquivos não criptografados como parte de uma tática de extorsão dupla”, disseram os pesquisadores.

A Microsoft responde

Quando perguntada, a Microsoft comentou que “a funcionalidade de configuração para configurações de versão nas listas está funcionando conforme o esperado”, de acordo com a Proofpoint. Ele acrescentou que “versões mais antigas de arquivos podem ser potencialmente recuperadas e restauradas por mais 14 dias com a assistência do Suporte da Microsoft”, citam pesquisadores da Microsoft.

Os pesquisadores responderam em uma declaração: “A Proofpoint tentou recuperar e restaurar versões antigas por meio desse processo (ou seja, com o Suporte da Microsoft) e não foi bem-sucedida. Em segundo lugar, mesmo que o fluxo de trabalho de configuração das configurações de versão seja o pretendido, o Proofpoint mostrou que pode ser abusado por invasores em relação aos objetivos do ransomware na nuvem.”

Etapas para proteger o Microsoft Office 365

A Proofpoint recomenda que os usuários fortaleçam suas contas do Office 365 aplicando uma política de senha forte, habilitando a autenticação multifator (MFA) e mantendo regularmente o backup externo de dados confidenciais.

O pesquisador também sugeriu as 'estratégias de resposta e investigação' que devem ser implementadas se uma mudança na configuração for desencadeada.

• Aumente as versões restauráveis ​​das bibliotecas de documentos afetadas.
• Identifique a configuração de alto risco que foi alterada e as contas comprometidas anteriormente.
• Os tokens OAuth para aplicativos de terceiros suspeitos devem ser revogados imediatamente.
• Procure padrões de violação de política na nuvem, e-mail, web e endpoint por qualquer usuário.

“Os arquivos armazenados em um estado híbrido no endpoint e na nuvem, como por meio de pastas de sincronização na nuvem, reduzirão o impacto desse novo risco, pois o invasor não terá acesso aos arquivos locais/endpoint”, disseram os pesquisadores. “Para executar um fluxo de resgate completo, o invasor terá que comprometer o endpoint e a conta na nuvem para acessar o endpoint e os arquivos armazenados na nuvem.”