Een Microsoft Office 365-functie kan ransomware-hackers helpen cloudbestanden te gijzelen

Er is een “gevaarlijk stukje functionaliteit” ontdekt in de Microsoft 365-suite die mogelijk kan worden misbruikt door een kwaadwillende actor om bestanden los te kopen die zijn opgeslagen op SharePoint en OneDrive en aanvallen op cloudinfrastructuur te starten.

De cloud ransomware-aanval maakt het mogelijk om bestandsversleutelende malware te starten om “bestanden die zijn opgeslagen op SharePoint en OneDrive te versleutelen op een manier die ze onherstelbaar maakt zonder speciale back-ups of een decoderingssleutel van de aanvaller”, zei Proofpoint in een rapport dat vandaag is gepubliceerd.

De infectiereeks kan worden uitgevoerd met behulp van een combinatie van Microsoft API’s, CLI-scripts (Command Line Interface) en PowerShell-scripts, voegde het beveiligingsbedrijf van de onderneming eraan toe.

De aanval is in de kern afhankelijk van een Microsoft 365-functie genaamd AutoSave die kopieën van oudere bestandsversies maakt wanneer gebruikers bewerkingen aanbrengen in een bestand dat is opgeslagen op OneDrive of SharePoint Online.

Het begint met het verkrijgen van ongeautoriseerde toegang tot het SharePoint Online- of OneDrive-account van een doelgebruiker, gevolgd door misbruik van de toegang om bestanden te exfiltreren en te versleutelen. De drie meest voorkomende manieren om de eerste voet aan de grond te krijgen, zijn het rechtstreeks binnendringen van het account via phishing of brute-force-aanvallen, het misleiden van een gebruiker om een malafide OAuth-applicatie van derden te autoriseren of het overnemen van de websessie van een ingelogde gebruiker.

Maar waar deze aanval zich onderscheidt van traditionele endpoint ransomware-activiteit, is dat de coderingsfase vereist dat elk bestand op SharePoint Online of OneDrive meer wordt vergrendeld dan de toegestane versielimiet.

Microsoft werkt het versiegedrag in zijn documentatie als volgt uit:

Sommige organisaties staan onbeperkte versies van bestanden toe en andere passen beperkingen toe. Mogelijk ontdekt u, nadat u de nieuwste versie van een bestand hebt gecontroleerd, dat een oude versie ontbreekt. Als uw meest recente versie 101.0 is en u merkt dat er geen versie 1.0 meer is, betekent dit dat de beheerder de bibliotheek heeft geconfigureerd om slechts 100 primaire versies van een bestand toe te staan. De toevoeging van de 101e versie zorgt ervoor dat de eerste versie wordt verwijderd. Alleen versies 2.0 tot en met 101.0 blijven over. Evenzo, als een 102e versie wordt toegevoegd, blijven alleen versies 3.0 tot en met 102.0 over.

Door gebruik te maken van de toegang tot het account, kan een aanvaller te veel versies van een bestand maken of de versielimiet van een documentbibliotheek verlagen tot een laag aantal, zoals “1” en vervolgens doorgaan met het tweemaal versleutelen van elk bestand.

“Nu zijn alle originele (pre-aanvaller) versies van de bestanden verloren gegaan, waardoor alleen de gecodeerde versies van elk bestand in het cloudaccount overblijven,” legden de onderzoekers uit. “Op dit moment kan de aanvaller losgeld vragen aan de organisatie.”

Microsoft wees er in reactie op de bevindingen op dat oudere versies van bestanden mogelijk nog eens 14 dagen kunnen worden hersteld en hersteld met de hulp van Microsoft Support, een proces dat Proofpoint niet succesvol vond.

Een woordvoerder van Microsoft zei tegen The Hacker News: “Deze techniek vereist dat een gebruiker al volledig is gecompromitteerd door een aanvaller. We moedigen onze klanten aan om veilige computergewoonten te oefenen, waaronder voorzichtigheid bij het klikken op links naar webpagina’s, het openen van onbekende bestandsbijlagen of het accepteren van bestandsoverdrachten.”

Om dergelijke aanvallen te beperken, wordt aanbevolen om een sterk wachtwoordbeleid af te dwingen, multifactorauthenticatie (MFA) te verplichten, grootschalige gegevensdownloads naar onbeheerde apparaten te voorkomen en periodieke externe back-ups van cloudbestanden met gevoelige gegevens te onderhouden.

De techgigant van zijn kant vestigde verder de aandacht op een OneDrive ransomware-detectiefunctie die Microsoft 365-gebruikers op de hoogte stelt van een mogelijke aanval en slachtoffers in staat stelt hun bestanden te herstellen. Microsoft moedigt zakelijke gebruikers ook aan om voorwaardelijke toegang te gebruiken om de toegang tot SharePoint- en OneDrive-inhoud van onbeheerde apparaten te blokkeren of te beperken.

“Bestanden die zijn opgeslagen in een hybride status op zowel eindpunt als cloud, zoals via cloudsynchronisatiemappen, zullen de impact van dit nieuwe risico verminderen, omdat de aanvaller geen toegang heeft tot de lokale / eindpuntbestanden”, aldus de onderzoekers. “Om een volledige losgeldstroom uit te voeren, moet de aanvaller het eindpunt en het cloudaccount compromitteren om toegang te krijgen tot het eindpunt en de in de cloud opgeslagen bestanden.”

Bron: thehackernews