آفس 365 کنفیگ لوفول نے OneDrive، شیئرپوائنٹ ڈیٹا کو رینسم ویئر اٹیک کے لیے کھول دیا

محققین انتباہ کر رہے ہیں کہ حملہ آور رینسم ویئر حملوں میں SharePoint اور OneDrive پر محفوظ فائلوں کو نشانہ بنانے کے لیے Microsoft Office 365 کی فعالیت کا غلط استعمال کر سکتے ہیں۔

وہ فائلیں، جنہیں "آٹو سیو" کے ذریعے اسٹور کیا جاتا ہے اور کلاؤڈ میں بیک اپ لیا جاتا ہے، عام طور پر اختتامی صارفین کو یہ تاثر دیتے ہیں کہ ڈیٹا رینسم ویئر کے حملے سے محفوظ ہے۔ تاہم، محققین کا کہنا ہے کہ ہمیشہ ایسا نہیں ہوتا ہے اور SharePoint اور OneDrive پر محفوظ فائلیں ransomware حملے کا شکار ہو سکتی ہیں۔

یہ تحقیق پروف پوائنٹ سے آئی ہے، جو یہ بتاتی ہے کہ یہ "فعالیت کا ممکنہ طور پر خطرناک حصہ" ہے۔ ایک رپورٹ میں گزشتہ ہفتے جاری کیا

"Proofpoint نے Office 365 یا Microsoft 365 میں فعالیت کا ایک ممکنہ طور پر خطرناک ٹکڑا دریافت کیا ہے جو ransomware کو SharePoint اور OneDrive پر محفوظ فائلوں کو اس طرح سے انکرپٹ کرنے کی اجازت دیتا ہے جو انہیں بغیر کسی وقف شدہ بیک اپ یا حملہ آور کی جانب سے ڈکرپشن کلید کے ناقابل بازیافت بنا دیتا ہے،" محققین کے مطابق۔

اٹیک چین کیسے کام کرتا ہے۔

حملے کا سلسلہ سب سے برا مانتا ہے اور آفس 365 صارف کے اکاؤنٹ کی اسناد کے ابتدائی سمجھوتے سے شروع ہوتا ہے۔ اس سے اکاؤنٹ ٹیک اوور ہوتا ہے، پھر SharePoint اور OneDrive ماحول میں ڈیٹا کی دریافت اور آخر کار ڈیٹا کی خلاف ورزی اور ransomware حملہ ہوتا ہے۔

پروف پوائنٹ کا کہنا ہے کہ یہ ایک بڑی بات کیوں ہے، یہ ہے کہ مائیکروسافٹ کے "آٹو سیو" فیچر کے ذریعے کلاؤڈ بیک اپ جیسے ٹولز رینسم ویئر حملے کو روکنے کے لیے بہترین طریقوں کا حصہ رہے ہیں۔ اگر ڈیٹا کو کسی اینڈ پوائنٹ پر بند کر دیا جائے تو دن کو بچانے کے لیے کلاؤڈ بیک اپ ہوگا۔ یہ ترتیب دینا کہ OneDrive اور SharePoint پر فائل کے کتنے ورژن محفوظ ہیں حملے سے ہونے والے نقصان کو مزید کم کرتا ہے۔ آن لائن ذخیرہ شدہ فائل کے سابقہ ​​ورژن کو انکرپٹ کرنے کا امکان اور مخالف رینسم ویئر کے کامیاب حملے کے امکانات کو کم کرتا ہے۔

پروف پوائنٹ کا کہنا ہے کہ حملہ آور میں ترمیم کے ذریعے ان احتیاطوں کو نظرانداز کیا جا سکتا ہے۔ ورژن کی حدود، جو حملہ آور کو فائل کے تمام معلوم ورژنز کو خفیہ کرنے کی اجازت دیتا ہے۔

"زیادہ تر OneDrive اکاؤنٹس کی ڈیفالٹ ورژن کی حد 500 [ورژن بیک اپ] ہے۔ ایک حملہ آور دستاویز کی لائبریری میں 501 بار فائلوں میں ترمیم کر سکتا ہے۔ اب، ہر فائل کا اصل (پری حملہ آور) ورژن 501 ورژن پرانا ہے، اور اس وجہ سے اب بحال نہیں کیا جا سکتا،" محققین نے لکھا۔ "ہر 501 ترمیم کے بعد فائل (فائلوں) کو خفیہ کریں۔ اب تمام 500 بحال ہونے والے ورژن انکرپٹڈ ہیں۔ تنظیمیں فائلوں کے اصل (پری حملہ آور) ورژن کو آزادانہ طور پر بحال نہیں کر سکتیں یہاں تک کہ اگر وہ حملہ آور کے ذریعے ترمیم شدہ ورژنز کی تعداد سے زیادہ ورژن کی حد کو بڑھانے کی کوشش کریں۔ اس صورت میں، یہاں تک کہ اگر ورژن کی حد 501 یا اس سے زیادہ تک بڑھا دی گئی، فائل (زبانیں) 501 یا اس سے زیادہ پرانے ورژنز کو بحال نہیں کیا جا سکتا، "انہوں نے لکھا۔

سمجھوتہ شدہ اکاؤنٹس تک رسائی رکھنے والا مخالف اس کے تحت پائے جانے والے ورژننگ میکانزم کا غلط استعمال کر سکتا ہے۔ فہرست کی ترتیبات اور دستاویز کی لائبریری میں موجود تمام فائلوں کو متاثر کرتا ہے۔ ایڈمنسٹریٹر کے استحقاق کی ضرورت کے بغیر ورژننگ سیٹنگ میں ترمیم کی جا سکتی ہے، ایک حملہ آور فائل کے بہت زیادہ ورژن بنا کر یا فائل کو ورژننگ کی حد سے زیادہ انکرپٹ کر کے اس کا فائدہ اٹھا سکتا ہے۔ مثال کے طور پر، اگر کم کردہ ورژن کی حد 1 پر سیٹ کی گئی ہے تو حملہ آور فائل کو دو بار انکرپٹ کرتا ہے۔ محققین نے کہا، "بعض صورتوں میں، حملہ آور دوہری بھتہ خوری کے ہتھکنڈے کے حصے کے طور پر غیر خفیہ شدہ فائلوں کو باہر نکال سکتا ہے۔"

مائیکروسافٹ جواب دیتا ہے۔

پوچھے جانے پر، مائیکروسافٹ نے تبصرہ کیا کہ "لسٹوں کے اندر ورژن کی ترتیبات کے لیے کنفیگریشن کی فعالیت حسب منشا کام کر رہی ہے،" پروف پوائنٹ کے مطابق۔ محققین نے مائیکروسافٹ کے حوالے سے کہا کہ "فائلوں کے پرانے ورژن کو مائیکروسافٹ سپورٹ کی مدد سے اضافی 14 دنوں کے لیے ممکنہ طور پر بازیافت اور بحال کیا جا سکتا ہے۔"

محققین نے ایک بیان میں جواب دیا: "پروف پوائنٹ نے اس عمل (یعنی مائیکروسافٹ سپورٹ کے ساتھ) کے ذریعے پرانے ورژنز کو بازیافت کرنے اور بحال کرنے کی کوشش کی اور کامیاب نہیں ہوا۔ دوم، یہاں تک کہ اگر ورژننگ سیٹنگ کنفیگریشن ورک فلو کا مقصد ہے، پروف پوائنٹ نے دکھایا ہے کہ حملہ آوروں کے ذریعہ کلاؤڈ رینسم ویئر کے مقاصد کے لیے اس کا غلط استعمال کیا جا سکتا ہے۔

مائیکروسافٹ آفس 365 کو محفوظ بنانے کے اقدامات

پروف پوائنٹ صارفین کو اپنے آفس 365 اکاؤنٹس کو مضبوط پاس ورڈ پالیسی کو نافذ کرنے، ملٹی فیکٹر تصدیق (MFA) کو فعال کرنے، اور حساس ڈیٹا کے بیرونی بیک اپ کو باقاعدگی سے برقرار رکھنے کی سفارش کرتا ہے۔

محقق نے 'جواب اور تفتیشی حکمت عملی' بھی تجویز کی جو ترتیب میں تبدیلی کی صورت میں لاگو کی جانی چاہئیں۔

• متاثرہ دستاویز کی لائبریریوں کے لیے قابل بحالی ورژن میں اضافہ کریں۔
• ہائی رسک کنفیگریشن کی شناخت کریں جس میں تبدیلی کی گئی ہے اور پہلے سے سمجھوتہ کیے گئے اکاؤنٹس۔
• کسی بھی مشکوک تھرڈ پارٹی ایپس کے لیے OAuth ٹوکنز کو فوری طور پر منسوخ کر دیا جانا چاہیے۔
• کسی بھی صارف کے ذریعے کلاؤڈ، ای میل، ویب اور اینڈ پوائنٹ پر پالیسی کی خلاف ورزی کے نمونوں کی تلاش کریں۔

محققین نے کہا، "فائلیں اینڈ پوائنٹ اور کلاؤڈ دونوں پر ہائبرڈ حالت میں محفوظ کی گئی ہیں جیسے کہ کلاؤڈ سنک فولڈرز کے ذریعے اس نئے خطرے کے اثرات کو کم کریں گے کیونکہ حملہ آور کو مقامی/اینڈ پوائنٹ فائلوں تک رسائی حاصل نہیں ہوگی۔" "پورے تاوان کے بہاؤ کو انجام دینے کے لیے، حملہ آور کو اینڈ پوائنٹ اور کلاؤڈ اکاؤنٹ تک رسائی حاصل کرنے کے لیے اینڈ پوائنٹ اور کلاؤڈ اسٹورڈ فائلوں تک سمجھوتہ کرنا پڑے گا۔"