En rapporterad "potentiellt farlig funktionalitet" tillåter en angripare att starta en attack mot molninfrastruktur och lösensumma filer lagrade i SharePoint och OneDrive.
Forskare varnar för att angripare kan missbruka Microsoft Office 365-funktionalitet för att rikta in sig på filer lagrade på SharePoint och OneDrive i ransomware-attacker.
Dessa filer, lagrade via "auto-save" och säkerhetskopierade i molnet, lämnar vanligtvis slutanvändare med intrycket att data är skyddade från en ransomware-attack. Men forskare säger att det inte alltid är fallet och filer som lagras på SharePoint och OneDrive kan vara sårbara för en ransomware-attack.
Forskningen kommer från Proofpoint, som visar vad den säger är "potentiellt farlig funktionalitet" i en rapport Släpptes förra veckan.
"Proofpoint har upptäckt en potentiellt farlig funktionalitet i Office 365 eller Microsoft 365 som gör att ransomware kan kryptera filer lagrade på SharePoint och OneDrive på ett sätt som gör dem omöjliga att återställa utan dedikerade säkerhetskopior eller en dekrypteringsnyckel från angriparen", enligt forskare.
Hur attackkedjan fungerar
Attackkedjan antar det värsta och börjar med en första kompromiss av en Office 365-användares kontouppgifter. Detta leder till ett kontoövertagande, sedan upptäckt av data inom SharePoint- och OneDrive-miljön och så småningom ett dataintrång och attack mot ransomware.
Varför detta är en stor sak, hävdar Proofpoint, är att verktyg som molnsäkerhetskopiering via Microsofts "auto-save"-funktion har varit en del av en bästa praxis för att förhindra en ransomware-attack. Skulle data vara låst på en slutpunkt, skulle det finnas en molnbackup för att rädda dagen. Att konfigurera hur många versioner av en fil som sparas i OneDrive och SharePoint minskar ytterligare skadan en attack. Sannolikheten för att och motståndaren krypterar tidigare versioner av en fil som lagras online minskar sannolikheten för en lyckad ransomware-attack.
Proofpoint säger att dessa försiktighetsåtgärder kan kringgås genom att en angripare modifierar dem versionsbegränsningar, vilket gör att en angripare kan kryptera alla kända versioner av en fil.
"De flesta OneDrive-konton har en standardversionsgräns på 500 [versionssäkerhetskopior]. En angripare kunde redigera filer i ett dokumentbibliotek 501 gånger. Nu är den ursprungliga (förangriparen) versionen av varje fil 501 versioner gammal och därför inte längre återställningsbar”, skrev forskare. "Kryptera filen/filerna efter var och en av de 501 redigeringarna. Nu är alla 500 återställbara versioner krypterade. Organisationer kan inte självständigt återställa den ursprungliga (före attacker) versionen av filerna även om de försöker öka versionsgränserna utöver antalet versioner som redigerats av angriparen. I det här fallet, även om versionsgränsen höjdes till 501 eller mer, kan filen/filerna som sparats 501 versioner eller äldre inte återställas”, skrev de.
En motståndare med tillgång till inträngda konton kan missbruka versionsmekanismen som finns under listinställningar och påverkar alla filer i dokumentbiblioteket. Inställningen för versionshantering kan ändras utan att kräva administratörsbehörighet, en angripare kan utnyttja detta genom att skapa för många versioner av en fil eller kryptera filen mer än versionsgränsen. Till exempel, om den reducerade versionsgränsen är inställd på 1 så krypterar angriparen filen två gånger. "I vissa fall kan angriparen exfiltrera okrypterade filer som en del av en dubbel utpressningstaktik", sa forskare
Microsoft svarar
På frågan kommenterade Microsoft "konfigurationsfunktionen för versionsinställningar i listor fungerar som avsett", enligt Proofpoint. Den lade till "äldre versioner av filer kan potentiellt återställas och återställas i ytterligare 14 dagar med hjälp av Microsoft Support", citerar forskare Microsoft.
Forskare kontrade i ett uttalande: "Proofpoint försökte hämta och återställa gamla versioner genom denna process (dvs. med Microsoft Support) och lyckades inte. För det andra, även om konfigurationsarbetsflödet för versionsinställningar är som det är tänkt, har Proofpoint visat att det kan missbrukas av angripare mot ransomware i molnet.”
Steg för att säkra Microsoft Office 365
Proofpoint rekommenderar användare att förstärka sina Office 365-konton genom att tillämpa en stark lösenordspolicy, möjliggöra multi-factor authentication (MFA) och regelbundet underhålla den externa säkerhetskopian av känslig data.
Forskaren föreslog också de "svars- och utredningsstrategier" som bör implementeras om en förändring i konfigurationen utlöses.
- Öka de återställbara versionerna för de berörda dokumentbiblioteken.
- Identifiera högriskkonfigurationen som har ändrats och konton som tidigare äventyrats.
- OAuth-tokens för alla misstänkta appar från tredje part bör omedelbart återkallas.
- Sök efter policyöverträdelsemönster i moln, e-post, webb och slutpunkt av vilken användare som helst.
"Filer som lagras i ett hybridtillstånd på både slutpunkt och moln, till exempel genom molnsynkroniseringsmappar, kommer att minska effekten av denna nya risk eftersom angriparen inte kommer att ha tillgång till lokala/slutpunktsfilerna," sa forskarna. "För att utföra ett fullständigt lösensumma måste angriparen äventyra slutpunkten och molnkontot för att komma åt slutpunkten och molnlagrade filer."
