Lacuna de configurare Office 365 deschide datele OneDrive, SharePoint la atacul ransomware

Cercetătorii avertizează atacatorii pot abuza de funcționalitatea Microsoft Office 365 pentru a viza fișierele stocate pe SharePoint și OneDrive în atacurile ransomware.

Fișierele respective, stocate prin „salvare automată” și cu copie de rezervă în cloud, lasă de obicei utilizatorilor finali impresia că datele sunt protejate de un atac ransomware. Cu toate acestea, cercetătorii spun că nu este întotdeauna cazul, iar fișierele stocate pe SharePoint și OneDrive pot fi vulnerabile la un atac ransomware.

Cercetarea vine de la Proofpoint, care stabilește ceea ce spune că este „piesa de funcționalitate potențial periculoasă” într-un raport a lansat saptamana trecuta.

„Proofpoint a descoperit o funcționalitate potențial periculoasă în Office 365 sau Microsoft 365, care permite ransomware-ului să cripteze fișierele stocate pe SharePoint și OneDrive într-un mod care le face irecuperabile fără backup-uri dedicate sau o cheie de decriptare de la atacator”, potrivit cercetătorilor.

Cum funcționează lanțul de atac

Lanțul de atac presupune cel mai rău și începe cu un compromis inițial al acreditărilor contului unui utilizator Office 365. Acest lucru duce la preluarea unui cont, apoi la descoperirea datelor în mediul SharePoint și OneDrive și, în cele din urmă, la o încălcare a datelor și un atac ransomware.

De ce aceasta este o problemă importantă, susține Proofpoint, este că instrumente precum backup-urile în cloud prin funcția de „salvare automată” a Microsoft au făcut parte din cele mai bune practici pentru prevenirea unui atac ransomware. În cazul în care datele ar fi blocate pe un punct final, ar exista o copie de rezervă în cloud pentru a salva ziua. Configurarea câte versiuni ale unui fișier sunt salvate pe OneDrive și SharePoint reduce și mai mult daunele cauzate de atac. Probabilitatea ca adversarul să cripteze versiunile anterioare ale unui fișier stocat online reduce probabilitatea unui atac de succes ransomware.

Proofpoint spune că aceste măsuri de precauție pot fi ocolite prin modificarea unui atacator limitele de versiune, care permite unui atacator să cripteze toate versiunile cunoscute ale unui fișier.

„Majoritatea conturilor OneDrive au o limită implicită de versiune de 500 [backup-uri ale versiunii]. Un atacator ar putea edita fișiere dintr-o bibliotecă de documente de 501 de ori. Acum, versiunea originală (pre-atacator) a fiecărui fișier este veche de 501 de versiuni și, prin urmare, nu mai poate fi restaurată”, au scris cercetătorii. „Criptați fișierul (fișierele) după fiecare dintre cele 501 de modificări. Acum toate cele 500 de versiuni restaurabile sunt criptate. Organizațiile nu pot restaura în mod independent versiunea originală (preatacator) a fișierelor chiar dacă încearcă să mărească limitele versiunilor dincolo de numărul de versiuni editate de atacator. În acest caz, chiar dacă limita de versiuni a fost crescută la 501 sau mai mult, fișierele salvate cu 501 versiuni sau mai vechi nu pot fi restaurate”, au scris ei.

Un adversar cu acces la conturi compromise poate abuza de mecanismul de versiuni găsit sub setările listei și afectează toate fișierele din biblioteca de documente. Setarea de versiune poate fi modificată fără a necesita privilegii de administrator, un atacator poate folosi acest lucru creând prea multe versiuni ale unui fișier sau criptând fișierul mai mult decât limita de versiuni. De exemplu, dacă limita redusă a versiunii este setată la 1, atunci atacatorul criptează fișierul de două ori. „În unele cazuri, atacatorul poate exfiltra fișierele necriptate ca parte a unei tactici de extorcare dublă”, au spus cercetătorii.

Microsoft Răspunde

Când a fost întrebat, Microsoft a comentat „funcționalitatea de configurare pentru setările de versiuni din liste funcționează conform intenției”, potrivit Proofpoint. Acesta a adăugat că „versiunile mai vechi ale fișierelor pot fi potențial recuperate și restaurate pentru încă 14 zile cu asistența Microsoft Support”, citează cercetătorii Microsoft.

Cercetătorii au răspuns într-o declarație: „Proofpoint a încercat să recupereze și să restaureze versiuni vechi prin acest proces (adică, cu asistență Microsoft) și nu a avut succes. În al doilea rând, chiar dacă fluxul de lucru de configurare a setărilor de versiuni este conform intenționării, Proofpoint a arătat că poate fi abuzat de atacatori în scopul ransomware-ului cloud.”

Pași pentru a securiza Microsoft Office 365

Proofpoint recomandă utilizatorilor să-și întărească conturile Office 365 prin aplicarea unei politici puternice de parole, permițând autentificarea cu mai mulți factori (MFA) și menținând în mod regulat backupul extern al datelor sensibile.

Cercetătorul a sugerat, de asemenea, „strategiile de răspuns și investigare” care ar trebui implementate dacă se declanșează o schimbare a configurației.

• Măriți versiunile restaurabile pentru bibliotecile de documente afectate.
• Identificați configurația cu risc ridicat care este modificată și conturile compromise anterior.
• Tokenurile OAuth pentru orice aplicație terță parte suspectă ar trebui revocate imediat.
• Căutați modele de încălcare a politicilor în cloud, e-mail, web și endpoint de către orice utilizator.

„Fișierele stocate într-o stare hibridă atât pe punctul final, cât și pe cloud, cum ar fi prin folderele de sincronizare în cloud, vor reduce impactul acestui risc nou, deoarece atacatorul nu va avea acces la fișierele locale/punctului final”, au spus cercetătorii. „Pentru a efectua un flux complet de răscumpărare, atacatorul va trebui să compromită punctul final și contul cloud pentru a accesa punctul final și fișierele stocate în cloud.”