Повідомлення про «потенційно небезпечну частину функціональності» дозволяє зловмиснику здійснити атаку на хмарну інфраструктуру та файли з викупом, що зберігаються в SharePoint та OneDrive.
Дослідники попереджають, що зловмисники можуть зловживати функціональними можливостями Microsoft Office 365 для націлювання на файли, що зберігаються в SharePoint і OneDrive, під час атак програм-вимагачів.
Ці файли, які зберігаються за допомогою «автозбереження» та створюються в хмарі, зазвичай залишають кінцевим користувачам дані про враження, які захищені від атаки програм-вимагачів. Однак дослідники кажуть, що це не завжди так, і файли, що зберігаються в SharePoint і OneDrive, можуть бути вразливими для атаки програм-вимагачів.
Дослідження надходить від Proofpoint, який викладає те, що, за його словами, є «потенційно небезпечною частиною функціональності». у звіті опублікованому минулого тижня.
«Proofpoint виявив потенційно небезпечну частину функціональності в Office 365 або Microsoft 365, яка дозволяє програмі-вимагачі шифрувати файли, що зберігаються в SharePoint і OneDrive, таким чином, щоб їх неможливо було відновити без виділених резервних копій або ключа дешифрування від зловмисника», — стверджують дослідники.
Як працює ланцюг атаки
Ланцюжок атак передбачає найгірший і починається з початкового компромісу облікових даних користувача Office 365. Це призводить до захоплення облікового запису, а потім виявлення даних у середовищі SharePoint і OneDrive і, врешті, до порушення даних і атаки програм-вимагачів.
Чому це важливо, стверджує Proofpoint, полягає в тому, що такі інструменти, як хмарне резервне копіювання за допомогою функції «автозбереження» Microsoft, були частиною найкращих методів запобігання атаці програм-вимагачів. Якщо дані будуть заблоковані на кінцевій точці, буде створено хмарне резервне копіювання, щоб врятувати ситуацію. Налаштування кількості версій файлу, яке зберігається в OneDrive і SharePoint, ще більше зменшує шкоду від атаки. Імовірність шифрування попередніх версій файлу, що зберігається в Інтернеті, зловмисником зменшує ймовірність успішної атаки програмного забезпечення-вимагача.
Proofpoint каже, що ці запобіжні заходи можна обійти, змінивши зловмисник обмеження версій, що дозволяє зловмиснику зашифрувати всі відомі версії файлу.
«Більшість облікових записів OneDrive мають ліміт версії за замовчуванням у 500 [резервних копій версій]. Зловмисник міг редагувати файли в бібліотеці документів 501 раз. Тепер вихідна версія кожного файлу (попередньо зловмисникова) має 501 стару версію, і тому більше не підлягає відновленню», — пишуть дослідники. «Зашифруйте файл(и) після кожного з 501 редагування. Тепер усі 500 відновлюваних версій зашифровані. Організації не можуть самостійно відновити оригінальну версію файлів (до зловмисників), навіть якщо вони намагаються збільшити обмеження версій за межі кількості версій, відредагованих зловмисником. У цьому випадку, навіть якщо ліміт версій було збільшено до 501 або більше, файли, збережені версії 501 або старіших, не можуть бути відновлені», – написали вони.
Зловмисник, який має доступ до зламаних облікових записів, може зловживати механізмом версій, знайденим у розділі налаштування списку і впливає на всі файли в бібліотеці документів. Налаштування керування версіями можна змінювати, не вимагаючи прав адміністратора, зловмисник може скористатися цим, створивши занадто багато версій файлу або зашифрувавши файл більше, ніж ліміт версій. Наприклад, якщо обмежене обмеження версії встановлено на 1, зловмисник шифрує файл двічі. «У деяких випадках зловмисник може вилучити незашифровані файли як частину тактики подвійного вимагання», — сказали дослідники.
Microsoft відповідає
На запитання Microsoft прокоментувала, що «функціонал конфігурації для налаштувань версій у списках працює належним чином», згідно з Proofpoint. Він додав, що «старіші версії файлів можна потенційно відновити та відновити протягом додаткових 14 днів за допомогою служби підтримки Microsoft», — цитують дослідники Microsoft.
Дослідники заперечили у заяві: «Proofpoint намагався отримати та відновити старі версії за допомогою цього процесу (тобто за допомогою підтримки Microsoft) і не мав успіху. По-друге, навіть якщо робочий процес налаштування налаштувань версій відповідає задуму, Proofpoint показав, що зловмисники можуть зловживати ним для досягнення цілей хмарного програмного забезпечення-вимагача».
Кроки для захисту Microsoft Office 365
Proofpoint рекомендує користувачам посилити свої облікові записи Office 365, запровадивши політику надійних паролів, увімкнувши багатофакторну автентифікацію (MFA) та регулярно підтримувавши зовнішнє резервне копіювання конфіденційних даних.
Дослідник також запропонував «стратегії реагування та розслідування», які слід реалізувати у разі зміни конфігурації.
- Збільште версії, які можна відновити, для уражених бібліотек документів.
- Визначте конфігурацію високого ризику, яка змінена, і раніше зламані облікові записи.
- Токени OAuth для будь-яких підозрілих сторонніх програм слід негайно відкликати.
- Шукайте шаблони порушення політики в хмарі, електронній пошті, Інтернеті та кінцевій точці будь-яким користувачем.
«Файли, що зберігаються в гібридному стані як на кінцевій точці, так і в хмарі, наприклад, через папки синхронізації з хмарою, зменшать вплив цього нового ризику, оскільки зловмисник не матиме доступу до файлів локальної/кінцевої точки», — сказали дослідники. «Щоб здійснити повний потік викупу, зловмиснику доведеться скомпрометувати кінцеву точку та хмарний обліковий запис, щоб отримати доступ до кінцевої точки та файлів, збережених у хмарі».
