Một "phần chức năng tiềm ẩn nguy hiểm" đã được báo cáo cho phép kẻ tấn công khởi động một cuộc tấn công vào cơ sở hạ tầng đám mây và đòi tiền chuộc các tệp được lưu trữ trong SharePoint và OneDrive.
Các nhà nghiên cứu đang cảnh báo những kẻ tấn công có thể lạm dụng chức năng Microsoft Office 365 để nhắm mục tiêu các tệp được lưu trữ trên SharePoint và OneDrive trong các cuộc tấn công ransomware.
Các tệp đó, được lưu trữ thông qua “tự động lưu” và được sao lưu trên đám mây, thường để lại cho người dùng cuối dữ liệu hiển thị được bảo vệ khỏi cuộc tấn công ransomware. Tuy nhiên, các nhà nghiên cứu nói rằng điều đó không phải lúc nào cũng như vậy và các tệp được lưu trữ trên SharePoint và OneDrive có thể dễ bị tấn công bởi ransomware.
Nghiên cứu đến từ Proofpoint, đưa ra những gì nó nói là "phần chức năng tiềm ẩn nguy hiểm" trong một báo cáo Phát hành vào tuần trước.
“Proofpoint đã phát hiện ra một phần chức năng tiềm ẩn nguy hiểm trong Office 365 hoặc Microsoft 365 cho phép ransomware mã hóa các tệp được lưu trữ trên SharePoint và OneDrive theo cách khiến chúng không thể khôi phục được nếu không có bản sao lưu chuyên dụng hoặc khóa giải mã từ kẻ tấn công,” theo các nhà nghiên cứu.
Cách thức hoạt động của chuỗi tấn công
Chuỗi tấn công giả định điều tồi tệ nhất và bắt đầu với sự xâm nhập ban đầu của thông tin đăng nhập tài khoản của người dùng Office 365. Điều này dẫn đến việc tiếp quản tài khoản, sau đó phát hiện ra dữ liệu trong môi trường SharePoint và OneDrive và cuối cùng là vi phạm dữ liệu và tấn công ransomware.
Tại sao điều này lại là một vấn đề lớn, Proofpoint lập luận, là các công cụ như sao lưu đám mây thông qua tính năng “tự động lưu” của Microsoft đã là một phần của các phương pháp hay nhất để ngăn chặn cuộc tấn công bằng ransomware. Nếu dữ liệu bị khóa trên một thiết bị đầu cuối, sẽ có một bản sao lưu đám mây để lưu trong ngày. Định cấu hình số lượng phiên bản của tệp được lưu trong OneDrive và SharePoint làm giảm thêm thiệt hại khi tấn công. Khả năng và đối thủ mã hóa các phiên bản trước của tệp được lưu trữ trực tuyến làm giảm khả năng tấn công bằng ransomware thành công.
Proofpoint cho biết những biện pháp phòng ngừa này có thể được thực hiện thông qua việc kẻ tấn công sửa đổi giới hạn phiên bản, cho phép kẻ tấn công mã hóa tất cả các phiên bản đã biết của tệp.
“Hầu hết các tài khoản OneDrive có giới hạn phiên bản mặc định là 500 [bản sao lưu phiên bản]. Kẻ tấn công có thể chỉnh sửa tệp trong thư viện tài liệu 501 lần. Giờ đây, phiên bản gốc (trước kẻ tấn công) của mỗi tệp đã cũ 501 phiên bản và do đó không còn khôi phục được nữa, ”các nhà nghiên cứu viết. “Mã hóa (các) tệp sau mỗi lần chỉnh sửa trong số 501 lần chỉnh sửa. Giờ đây, tất cả 500 phiên bản có thể phục hồi đều đã được mã hóa. Các tổ chức không thể khôi phục độc lập phiên bản gốc (trước kẻ tấn công) của tệp ngay cả khi họ cố gắng tăng giới hạn phiên bản vượt quá số lượng phiên bản được kẻ tấn công chỉnh sửa. Trong trường hợp này, ngay cả khi giới hạn phiên bản được tăng lên 501 hoặc hơn, (các) tệp đã lưu phiên bản 501 trở lên không thể được khôi phục, ”họ viết.
Kẻ thù có quyền truy cập vào các tài khoản bị xâm phạm có thể lạm dụng cơ chế lập phiên bản được tìm thấy trong cài đặt danh sách và ảnh hưởng đến tất cả các tệp trong thư viện tài liệu. Có thể sửa đổi cài đặt lập phiên bản mà không yêu cầu đặc quyền của quản trị viên, kẻ tấn công có thể tận dụng điều này bằng cách tạo quá nhiều phiên bản của một tệp hoặc mã hóa tệp nhiều hơn giới hạn lập phiên bản. Ví dụ: nếu giới hạn phiên bản giảm xuống được đặt thành 1 thì kẻ tấn công sẽ mã hóa tệp hai lần. Các nhà nghiên cứu cho biết: “Trong một số trường hợp, kẻ tấn công có thể lấy cắp các tệp không được mã hóa như một phần của chiến thuật tống tiền kép.
Phản hồi của Microsoft
Khi được hỏi, Microsoft nhận xét "chức năng cấu hình cho cài đặt lập phiên bản trong danh sách đang hoạt động như dự kiến", theo Proofpoint. Nó cho biết thêm “các phiên bản cũ hơn của tệp có thể được khôi phục và khôi phục trong 14 ngày nữa với sự hỗ trợ của Bộ phận hỗ trợ của Microsoft,” các nhà nghiên cứu trích lời Microsoft.
Các nhà nghiên cứu phản bác trong một tuyên bố: “Proofpoint đã cố gắng truy xuất và khôi phục các phiên bản cũ thông qua quá trình này (tức là với Hỗ trợ của Microsoft) và đã không thành công. Thứ hai, ngay cả khi quy trình cấu hình cài đặt phiên bản đúng như dự định, Proofpoint đã cho thấy rằng nó có thể bị lạm dụng bởi những kẻ tấn công nhằm vào mục đích ransomware đám mây ”.
Các bước bảo mật Microsoft Office 365
Proofpoint khuyến nghị người dùng củng cố tài khoản Office 365 của họ bằng cách thực thi chính sách mật khẩu mạnh, cho phép xác thực đa yếu tố (MFA) và thường xuyên duy trì bản sao lưu bên ngoài của dữ liệu nhạy cảm.
Nhà nghiên cứu cũng đề xuất 'các chiến lược điều tra và phản ứng' cần được thực hiện nếu sự thay đổi cấu hình được kích hoạt.
- Tăng các phiên bản có thể phục hồi cho các thư viện tài liệu bị ảnh hưởng.
- Xác định cấu hình có nguy cơ cao bị thay đổi và các tài khoản bị xâm phạm trước đó.
- Mã thông báo OAuth cho bất kỳ ứng dụng bên thứ ba đáng ngờ nào phải được thu hồi ngay lập tức.
- Tìm kiếm các mẫu vi phạm chính sách trên đám mây, email, web và điểm cuối của bất kỳ người dùng nào.
Các nhà nghiên cứu cho biết: “Các tệp được lưu trữ ở trạng thái kết hợp trên cả điểm cuối và đám mây, chẳng hạn như thông qua các thư mục đồng bộ hóa đám mây sẽ làm giảm tác động của rủi ro mới này vì kẻ tấn công sẽ không có quyền truy cập vào tệp cục bộ / điểm cuối”. “Để thực hiện toàn bộ quy trình đòi tiền chuộc, kẻ tấn công sẽ phải xâm nhập điểm cuối và tài khoản đám mây để truy cập điểm cuối và các tệp được lưu trữ trên đám mây”.
