รายงาน "ส่วนการทำงานที่อาจเป็นอันตราย" ช่วยให้ผู้โจมตีสามารถเปิดการโจมตีโครงสร้างพื้นฐานระบบคลาวด์และไฟล์ค่าไถ่ที่จัดเก็บไว้ใน SharePoint และ OneDrive
นักวิจัยเตือนผู้โจมตีว่าสามารถใช้ฟังก์ชันการทำงานของ Microsoft Office 365 ในทางที่ผิดเพื่อกำหนดเป้าหมายไฟล์ที่จัดเก็บไว้ใน SharePoint และ OneDrive ในการโจมตีด้วยแรนซัมแวร์
ไฟล์เหล่านั้นซึ่งจัดเก็บผ่าน "บันทึกอัตโนมัติ" และสำรองข้อมูลในระบบคลาวด์ โดยทั่วไปแล้วจะทำให้ผู้ใช้ปลายทางรู้สึกว่าข้อมูลการแสดงผลได้รับการปกป้องจากการโจมตีของแรนซัมแวร์ อย่างไรก็ตาม นักวิจัยกล่าวว่าไม่เป็นเช่นนั้นเสมอไป และไฟล์ที่จัดเก็บบน SharePoint และ OneDrive อาจเสี่ยงต่อการถูกโจมตีจากแรนซัมแวร์
การวิจัยมาจาก Proofpoint ซึ่งกล่าวถึงสิ่งที่กล่าวว่าเป็น "ฟังก์ชันการทำงานที่อาจเป็นอันตราย" ในรายงาน เปิดตัวเมื่อสัปดาห์ที่แล้ว
“Proofpoint ได้ค้นพบฟังก์ชันการทำงานที่อาจเป็นอันตรายใน Office 365 หรือ Microsoft 365 ซึ่งอนุญาตให้แรนซัมแวร์เข้ารหัสไฟล์ที่จัดเก็บไว้ใน SharePoint และ OneDrive ในลักษณะที่ทำให้กู้คืนไม่ได้หากไม่มีการสำรองข้อมูลเฉพาะหรือคีย์ถอดรหัสจากผู้โจมตี” นักวิจัยกล่าว
ห่วงโซ่การโจมตีทำงานอย่างไร
ห่วงโซ่การโจมตีถือว่าเลวร้ายที่สุดและเริ่มต้นด้วยการประนีประนอมข้อมูลรับรองบัญชีของผู้ใช้ Office 365 ในขั้นต้น สิ่งนี้นำไปสู่การเข้าครอบครองบัญชี จากนั้นจึงค้นพบข้อมูลภายในสภาพแวดล้อม SharePoint และ OneDrive และในที่สุดก็เกิดการละเมิดข้อมูลและการโจมตีของแรนซัมแวร์
เหตุใดเรื่องนี้จึงเป็นเรื่องใหญ่ Proofpoint ให้เหตุผลว่าเครื่องมือต่างๆ เช่น การสำรองข้อมูลบนคลาวด์ผ่านคุณสมบัติ "บันทึกอัตโนมัติ" ของ Microsoft เป็นส่วนหนึ่งของแนวทางปฏิบัติที่ดีที่สุดในการป้องกันการโจมตีของแรนซัมแวร์ หากข้อมูลถูกล็อคไว้ที่ปลายทาง ก็จะมีการสำรองข้อมูลบนคลาวด์เพื่อบันทึกวัน การกำหนดค่าจำนวนเวอร์ชันของไฟล์ที่บันทึกไว้ใน OneDrive และ SharePoint ช่วยลดความเสียหายจากการโจมตี ความเป็นไปได้ที่ฝ่ายตรงข้ามจะเข้ารหัสเวอร์ชันก่อนหน้าของไฟล์ที่เก็บไว้ทางออนไลน์จะลดโอกาสที่การโจมตีแรนซัมแวร์จะประสบความสำเร็จ
Proofpoint กล่าวว่าข้อควรระวังเหล่านี้สามารถหลีกเลี่ยงได้ผ่านการแก้ไขของผู้โจมตี ขีดจำกัดของเวอร์ชันซึ่งทำให้ผู้โจมตีสามารถเข้ารหัสไฟล์เวอร์ชันที่รู้จักทั้งหมดได้
“บัญชี OneDrive ส่วนใหญ่มีขีดจำกัดเวอร์ชันเริ่มต้นที่ 500 [เวอร์ชันสำรอง] ผู้โจมตีสามารถแก้ไขไฟล์ภายในไลบรารีเอกสารได้ 501 ครั้ง ตอนนี้ เวอร์ชันดั้งเดิม (ก่อนโจมตี) ของแต่ละไฟล์มีอายุ 501 เวอร์ชันแล้ว ดังนั้นจึงไม่สามารถกู้คืนได้อีกต่อไป” นักวิจัยระบุ “เข้ารหัสไฟล์หลังจากการแก้ไข 501 แต่ละครั้ง ขณะนี้เวอร์ชันที่คืนค่าได้ทั้งหมด 500 เวอร์ชันได้รับการเข้ารหัส องค์กรไม่สามารถกู้คืนเวอร์ชันต้นฉบับ (ก่อนผู้โจมตี) ของไฟล์ได้อย่างอิสระ แม้ว่าจะพยายามเพิ่มขีดจำกัดเวอร์ชันเกินกว่าจำนวนเวอร์ชันที่แก้ไขโดยผู้โจมตีก็ตาม ในกรณีนี้ แม้ว่าขีดจำกัดของเวอร์ชันจะเพิ่มเป็น 501 หรือมากกว่า แต่ไฟล์ที่บันทึกเป็นเวอร์ชัน 501 หรือเก่ากว่านั้นจะไม่สามารถกู้คืนได้” พวกเขาเขียน
ฝ่ายตรงข้ามที่สามารถเข้าถึงบัญชีที่ถูกบุกรุกสามารถใช้กลไกการกำหนดเวอร์ชันในทางที่ผิดซึ่งอยู่ภายใต้ การตั้งค่ารายการ และมีผลกับไฟล์ทั้งหมดในไลบรารีเอกสาร การตั้งค่าการกำหนดเวอร์ชันสามารถแก้ไขได้โดยไม่ต้องใช้สิทธิ์ของผู้ดูแลระบบ ผู้โจมตีสามารถใช้ประโยชน์จากสิ่งนี้ได้โดยการสร้างไฟล์หลายเวอร์ชันหรือเข้ารหัสไฟล์เกินขีดจำกัดของการกำหนดเวอร์ชัน ตัวอย่างเช่น หากตั้งค่าขีดจำกัดเวอร์ชันที่ลดลงเป็น 1 ผู้โจมตีจะเข้ารหัสไฟล์สองครั้ง “ในบางกรณี ผู้โจมตีอาจถอนไฟล์ที่ไม่ได้เข้ารหัสซึ่งเป็นส่วนหนึ่งของกลยุทธ์การขู่กรรโชกซ้ำซ้อน” นักวิจัยกล่าว
Microsoft ตอบสนอง
เมื่อถาม Microsoft แสดงความคิดเห็นว่า "ฟังก์ชันการกำหนดค่าสำหรับการตั้งค่าเวอร์ชันภายในรายการทำงานได้ตามที่ตั้งใจไว้" ตาม Proofpoint "ไฟล์เวอร์ชันเก่าสามารถกู้คืนและกู้คืนได้อีก 14 วันด้วยความช่วยเหลือจากฝ่ายสนับสนุนของ Microsoft" นักวิจัยกล่าวอ้างจาก Microsoft
นักวิจัยตอบโต้ในแถลงการณ์: “Proofpoint พยายามดึงและกู้คืนเวอร์ชันเก่าผ่านกระบวนการนี้ (กล่าวคือ ด้วยฝ่ายสนับสนุนของ Microsoft) และไม่ประสบผลสำเร็จ ประการที่สอง แม้ว่าเวิร์กโฟลว์การกำหนดค่าการตั้งค่าการกำหนดเวอร์ชันจะเป็นไปตามที่ตั้งใจไว้ Proofpoint ได้แสดงให้เห็นว่าผู้โจมตีสามารถใช้ในทางที่ผิดโดยมุ่งเป้าไปที่คลาวด์แรนซัมแวร์”
ขั้นตอนในการรักษาความปลอดภัย Microsoft Office 365
Proofpoint แนะนำให้ผู้ใช้เสริมความแข็งแกร่งให้กับบัญชี Office 365 ของตนโดยบังคับใช้นโยบายรหัสผ่านที่รัดกุม เปิดใช้งานการรับรองความถูกต้องด้วยหลายปัจจัย (MFA) และดูแลการสำรองข้อมูลที่ละเอียดอ่อนจากภายนอกอย่างสม่ำเสมอ
ผู้วิจัยยังแนะนำ 'กลยุทธ์การตอบสนองและการสอบสวน' ที่ควรนำไปใช้หากมีการเรียกใช้การเปลี่ยนแปลงการกำหนดค่า
- เพิ่มเวอร์ชันที่กู้คืนได้สำหรับไลบรารีเอกสารที่ได้รับผลกระทบ
- ระบุการกำหนดค่าที่มีความเสี่ยงสูงที่มีการเปลี่ยนแปลงและบัญชีที่ถูกบุกรุกก่อนหน้านี้
- ควรเพิกถอนโทเค็น OAuth สำหรับแอปของบุคคลที่สามที่น่าสงสัยทันที
- ค้นหารูปแบบการละเมิดนโยบายทั่วทั้งระบบคลาวด์ อีเมล เว็บ และอุปกรณ์ปลายทางโดยผู้ใช้ทุกคน
“ไฟล์ที่จัดเก็บในสถานะไฮบริดทั้งบนจุดสิ้นสุดและบนคลาวด์ เช่น ผ่านโฟลเดอร์ซิงค์บนคลาวด์จะลดผลกระทบของความเสี่ยงใหม่นี้ เนื่องจากผู้โจมตีจะไม่สามารถเข้าถึงไฟล์ในเครื่อง/ปลายทางได้” นักวิจัยกล่าว “ในการดำเนินการเรียกค่าไถ่อย่างเต็มรูปแบบ ผู้โจมตีจะต้องประนีประนอมจุดสิ้นสุดและบัญชีคลาวด์เพื่อเข้าถึงจุดสิ้นสุดและไฟล์ที่จัดเก็บบนคลาวด์”
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- แฮ็ก
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
- ลมทะเล