Los investigadores advierten que los atacantes pueden abusar de la funcionalidad de Microsoft Office 365 para apuntar a archivos almacenados en SharePoint y OneDrive en ataques de ransomware.
Esos archivos, almacenados a través de "guardado automático" y respaldados en la nube, generalmente dejan a los usuarios finales con la impresión de que los datos están protegidos de un ataque de ransomware. Sin embargo, los investigadores dicen que no siempre es el caso y los archivos almacenados en SharePoint y OneDrive pueden ser vulnerables a un ataque de ransomware.
La investigación proviene de Proofpoint, que establece lo que dice que es "una pieza de funcionalidad potencialmente peligrosa" en un informe publicado la semana pasada.
"Proofpoint ha descubierto una funcionalidad potencialmente peligrosa en Office 365 o Microsoft 365 que permite al ransomware cifrar archivos almacenados en SharePoint y OneDrive de una manera que los hace irrecuperables sin copias de seguridad dedicadas o una clave de descifrado del atacante", según los investigadores.
Cómo funciona la cadena de ataque
La cadena de ataques asume lo peor y comienza con un compromiso inicial de las credenciales de la cuenta de un usuario de Office 365. Esto conduce a una toma de control de la cuenta, luego al descubrimiento de datos dentro del entorno de SharePoint y OneDrive y, finalmente, a una violación de datos y un ataque de ransomware.
La razón por la que esto es un gran problema, argumenta Proofpoint, es que herramientas como las copias de seguridad en la nube a través de la función de "guardado automático" de Microsoft han sido parte de las mejores prácticas para prevenir un ataque de ransomware. Si los datos se bloquean en un punto final, habría una copia de seguridad en la nube para salvar el día. Configurar cuántas versiones de un archivo se guardan en OneDrive y SharePoint reduce aún más el daño y el ataque. La probabilidad de que el adversario cifre versiones anteriores de un archivo almacenado en línea reduce la probabilidad de un ataque de ransomware exitoso.
Proofpoint dice que estas precauciones pueden evitarse a través de un atacante que modifica los límites de versiones, lo que permite a un atacante cifrar todas las versiones conocidas de un archivo.
"La mayoría de las cuentas de OneDrive tienen un límite de versión predeterminado de 500 [copias de seguridad de versión]. Un atacante podría editar archivos dentro de una biblioteca de documentos 501 veces. Ahora, la versión original (pre-atacante) de cada archivo tiene 501 versiones antiguas y, por lo tanto, ya no se puede restaurar", escribieron los investigadores. "Cifre los archivos después de cada una de las 501 ediciones. Ahora las 500 versiones restaurables están encriptadas. Las organizaciones no pueden restaurar de forma independiente la versión original (anterior al atacante) de los archivos, incluso si intentan aumentar los límites de versión más allá del número de versiones editadas por el atacante. En este caso, incluso si el límite de versiones se incrementó a 501 o más, los archivos guardados en versiones 501 o anteriores no se pueden restaurar", escribieron.
Un adversario con acceso a cuentas comprometidas puede abusar del mecanismo de control de versiones que se encuentra en la configuración de la lista y afecta a todos los archivos de la biblioteca de documentos. La configuración de control de versiones se puede modificar sin necesidad de privilegios de administrador, un atacante puede aprovechar esto creando demasiadas versiones de un archivo o cifrando el archivo más que el límite de control de versiones. Por ejemplo, si el límite de versión reducido se establece en 1, el atacante cifra el archivo dos veces. "En algunos casos, el atacante puede filtrar los archivos no cifrados como parte de una táctica de doble extorsión", dijeron los investigadores.
Microsoft responde
Cuando se le preguntó, Microsoft comentó que "la funcionalidad de configuración para la configuración de versiones dentro de las listas está funcionando según lo previsto", según Proofpoint. Agregó que "las versiones anteriores de los archivos pueden recuperarse y restaurarse potencialmente durante 14 días adicionales con la ayuda del soporte de Microsoft", citan los investigadores a Microsoft.
Los investigadores respondieron en un comunicado: "Proofpoint intentó recuperar y restaurar versiones antiguas a través de este proceso (es decir, con soporte de Microsoft) y no tuvo éxito. En segundo lugar, incluso si el flujo de trabajo de configuración de la configuración de la configuración de versiones es el previsto, Proofpoint ha demostrado que los atacantes pueden abusar de él con fines de ransomware en la nube".
Pasos para proteger Microsoft Office 365
Proofpoint recomienda que los usuarios fortalezcan sus cuentas de Office 365 aplicando una directiva de contraseñas seguras, habilitando la autenticación multifactor (MFA) y manteniendo regularmente la copia de seguridad externa de datos confidenciales.
El investigador también sugirió las "estrategias de respuesta e investigación" que deberían implementarse si se desencadena un cambio en la configuración.
- Aumente las versiones restaurables para las bibliotecas de documentos afectadas.
- Identifique la configuración de alto riesgo que se ha alterado y las cuentas previamente comprometidas.
- Los tokens OAuth para cualquier aplicación sospechosa de terceros deben revocarse inmediatamente.
- Busque patrones de infracción de políticas en la nube, correo electrónico, web y endpoint por parte de cualquier usuario.
"Los archivos almacenados en un estado híbrido tanto en el punto final como en la nube, como a través de carpetas de sincronización en la nube, reducirán el impacto de este nuevo riesgo, ya que el atacante no tendrá acceso a los archivos locales / finales", dijeron los investigadores. "Para realizar un flujo de rescate completo, el atacante tendrá que comprometer el punto final y la cuenta en la nube para acceder al punto final y a los archivos almacenados en la nube".