Una característica de Office 365 podría ayudar a los hackers de ransomware a aprovecharse de los archivos en la nube
Una funcionalidad de Office 365 podría ayudar a los hackers de ransomware a tomar como rehenes los archivos en la nube
Se descubrió una «funcionalidad peligrosa» en la suite de Microsoft 365, que podría ser potencialmente abusada por un actor malicioso para rescatar archivos almacenados en SharePoint y OneDrive para lanzar ataques a la infraestructura de la nube.
El ataque de ransomware en la nube permite lanzar malware de cifrado de archivos para «cifrar archivos almacenados en SharePoint y OneDrive de una forma que los haga irrecuperables sin copias de seguridad dedicadas o una clave de descifrado del atacante», dijo ProofPoint en un informe.
La secuencia de infección se puede realizar utilizando una combinación de API de Microsoft, scripts de interfaz de línea de comandos (CLI) y scripts de PowerShell, agregó la compañía.
El ataque, en esencia, depende de una función de Microsoft 365 llamada AutoSave, que crea copias de versiones de archivos anteriores cuando los usuarios realizan ediciones en un archivo almacenado en OneDrive o SharePoint Online.
Comienza con la obtención de acceso no autorizado a la cuenta de SharePoint u OneDrive de un usuario objetivo, seguido por el abuso del acceso para exfiltrar y cifrar archivos. Las tres vías más comunes para obtener el punto de apoyo inicial implican la violación directa de la cuenta por medio de ataques de phishing o fuerza bruta, engañar a un usuario para que autorice una aplicación OAuth de terceros no autorizada o tomar el control de la sesión web de un usuario que ha iniciado sesión.
Pero una diferencia en la actividad tradicional de ransomware de punto final en este ataque es que la fase de cifrado requiere bloquear cada archivo en SharePoint Online o OneDrive más que el límite de versión permitido.
Microsoft elaboró el comportamiento de control de versiones en su documentación de la siguiente forma:
Al aprovechar el acceso a la cuenta, un atacante puede crear demasiadas versiones de un archivo o, de forma alternativa, reducir el límite de versiones de una biblioteca de documentos a un número bajo como «1» y luego cifrar cada archivo dos veces.
Microsoft, en respuesta a los hallazgos, dijo que las versiones anteriores de los archivos pueden recuperarse y restaurarse potencialmente durante 14 días adicionales con la ayuda del Soporte de Microsoft, un proceso que Proofpoint descubrió que no tuvo éxito.
Para mitigar los ataques, se recomienda aplicar una política de contraseña segura, exigir la autenticación multifactor (MFA), evitar descargas de datos a gran escala en dispositivos no administrados y mantener copias de seguridad externas periódicas de archivos en la nube con datos confidenciales.
Microsoft por su parte, llamó aún más la atención sobre una función de detección de ransomware de OneDrive que notifica a los usuarios de Microsoft 365 sobre un posible ataque y permite a las víctimas restaurar sus archivos.
Microsoft también alienta a los usuarios comerciales a utilizar el acceso condicional para bloquear o limitar el acceso al contenido de SharePoint y OneDrive desde dispositivos no administrados.