Poročilo o »potencialno nevarnem delu funkcionalnosti« napadalcu omogoča napad na infrastrukturo v oblaku in zahteva odkupnino, shranjene v SharePointu in OneDrive.
Raziskovalci opozarjajo, da lahko napadalci zlorabijo funkcionalnost Microsoft Office 365 za ciljanje na datoteke, shranjene v SharePointu in OneDrive, v napadih z izsiljevalsko programsko opremo.
Te datoteke, shranjene prek »samodejnega shranjevanja« in varnostno kopirane v oblaku, običajno pustijo končnim uporabnikom občutek, da so podatki o vtisih zaščiteni pred napadom izsiljevalske programske opreme. Vendar pa raziskovalci pravijo, da ni vedno tako in da so lahko datoteke, shranjene v SharePointu in OneDriveu, ranljive za napad izsiljevalske programske opreme.
Raziskava izhaja iz Proofpointa, ki navaja, kot pravijo, "potencialno nevaren del funkcionalnosti" v poročilu izšla prejšnji teden.
"Proofpoint je odkril potencialno nevaren del funkcionalnosti v Office 365 ali Microsoft 365, ki izsiljevalski programski opremi omogoča šifriranje datotek, shranjenih v SharePointu in OneDriveu, na način, da jih ni mogoče obnoviti brez namenskih varnostnih kopij ali ključa za dešifriranje od napadalca," pravijo raziskovalci.
Kako deluje veriga napadov
Veriga napada predvideva najhujše in se začne z začetnim kompromisom poverilnic računa uporabnika Office 365. To vodi do prevzema računa, nato do odkritja podatkov v okolju SharePoint in OneDrive ter na koncu do kršitve podatkov in napada izsiljevalske programske opreme.
Proofpoint trdi, da je to tako pomembno, da so bila orodja, kot je varnostno kopiranje v oblaku prek Microsoftove funkcije »samodejnega shranjevanja«, del najboljših praks za preprečevanje napadov z izsiljevalsko programsko opremo. Če bi bili podatki zaklenjeni na končni točki, bi obstajala varnostna kopija v oblaku, ki bi rešila dan. Če konfigurirate, koliko različic datoteke je shranjenih v storitvah OneDrive in SharePoint, dodatno zmanjšate škodo, ki jo povzroči napad. Verjetnost, da bo nasprotnik šifriral prejšnje različice datoteke, shranjene na spletu, zmanjša verjetnost uspešnega napada z izsiljevalsko programsko opremo.
Proofpoint pravi, da je te previdnostne ukrepe mogoče izogniti s spreminjanjem napadalca omejitve različic, ki napadalcu omogoča šifriranje vseh znanih različic datoteke.
»Večina računov OneDrive ima privzeto omejitev različice 500 [varnostnih kopij različic]. Napadalec bi lahko urejal datoteke v knjižnici dokumentov 501-krat. Zdaj je izvirna (prednapadalska) različica vsake datoteke stara 501 različico in je zato ni več mogoče obnoviti,« so zapisali raziskovalci. »Šifrirajte datoteko(e) po vsakem od 501 urejanj. Zdaj je šifriranih vseh 500 različic, ki jih je mogoče obnoviti. Organizacije ne morejo samostojno obnoviti izvirne različice datotek (pred napadalcem), tudi če poskušajo povečati omejitve različic nad število različic, ki jih je uredil napadalec. V tem primeru, tudi če je bila omejitev različice povečana na 501 ali več, datoteke, shranjene različice 501 ali starejše, ni mogoče obnoviti,” so zapisali.
Nasprotnik z dostopom do ogroženih računov lahko zlorabi mehanizem za različice, ki ga najdete pod nastavitve seznama in vpliva na vse datoteke v knjižnici dokumentov. Nastavitev različic je mogoče spremeniti, ne da bi za to potrebovali skrbniške pravice, napadalec lahko to izkoristi tako, da ustvari preveč različic datoteke ali šifrira datoteko, ki presega omejitev različic. Na primer, če je zmanjšana omejitev različice nastavljena na 1, napadalec dvakrat šifrira datoteko. "V nekaterih primerih lahko napadalec izloči nešifrirane datoteke kot del dvojne izsiljevalske taktike," so povedali raziskovalci.
Microsoft se odzove
Ko so ga vprašali, je Microsoft komentiral, da "konfiguracijska funkcionalnost za nastavitve različic znotraj seznamov deluje, kot je predvideno," glede na Proofpoint. Dodal je, da je "starejše različice datotek mogoče potencialno obnoviti in obnoviti dodatnih 14 dni s pomočjo Microsoftove podpore", raziskovalci citirajo Microsoft.
Raziskovalci so nasprotovali v izjavi: »Proofpoint je poskušal pridobiti in obnoviti stare različice s tem postopkom (tj. z Microsoftovo podporo) in ni bil uspešen. Drugič, tudi če je delovni tok konfiguracije nastavitev različice takšen, kot je bilo predvideno, je Proofpoint pokazal, da ga lahko napadalci zlorabijo za namene izsiljevalske programske opreme v oblaku.«
Koraki za zaščito Microsoft Office 365
Proofpoint uporabnikom priporoča, da okrepijo svoje račune Office 365 z uveljavitvijo politike močnega gesla, omogočanjem večfaktorske avtentikacije (MFA) in rednim vzdrževanjem zunanje varnostne kopije občutljivih podatkov.
Raziskovalec je predlagal tudi „strategije odzivanja in preiskave“, ki bi jih bilo treba izvesti, če se sproži sprememba konfiguracije.
- Povečajte število obnovitvenih različic za prizadete knjižnice dokumentov.
- Prepoznajte visoko tvegano konfiguracijo, ki je spremenjena, in predhodno ogrožene račune.
- Žetone OAuth za vse sumljive aplikacije tretjih oseb je treba takoj preklicati.
- Poiščite vzorce kršitev pravilnika v oblaku, e-pošti, spletu in končni točki katerega koli uporabnika.
"Datoteke, shranjene v hibridnem stanju tako na končni točki kot v oblaku, na primer prek map za sinhronizacijo v oblaku, bodo zmanjšale vpliv tega novega tveganja, saj napadalec ne bo imel dostopa do lokalnih/končnih datotek," so povedali raziskovalci. "Za izvedbo celotnega toka odkupnine bo moral napadalec ogroziti končno točko in račun v oblaku za dostop do končne točke in datotek, shranjenih v oblaku."
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- žaga
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
- zefirnet
