Функция Microsoft Office 365 может помочь злоумышленникам-вымогателям проникнуть в облачные файлы

В пакете Microsoft 365 обнаружена «опасная функциональность», которая потенциально может быть использована злоумышленником для выкупа файлов, хранящихся в SharePoint и OneDrive, и проведения атак на облачную инфраструктуру.

По словам исследователей, облачная атака программ-вымогателей позволяет вредоносным программам, шифрующим файлы, запускать и шифровать файлы, хранящиеся в SharePoint и OnePoint.

Согласно отчету Proofpoint, облачная атака программ-вымогателей позволяет запускать вредоносное ПО, шифрующее файлы, хранящиеся в SharePoint и OneDrive. После шифрования файлы невозможно восстановить без специальных резервных копий или ключа дешифрования от злоумышленника.

Особенности:

1. Последовательность заражения может быть выполнена с использованием комбинации API Microsoft, сценариев PowerShell и сценариев интерфейса командной строки (CLI).
2. Атака основана на функции Microsoft 365 под названием AutoSave, которая создает копии старых версий файлов, когда пользователи вносят изменения в файл, хранящийся в SharePoint Online или OneDrive.
3. Используется несанкционированный доступ для атаки на учетную запись пользователя SharePoint Online или OneDrive, затем злоумышленники злоупотребляют доступом для извлечения и шифрования файлов.

Три наиболее распространенных способа получить начальный плацдарм включают в себя:

• прямой взлом учетной записи с помощью фишинговых атак или атак методом грубой силы,
• захват веб-сеанса вошедшего в систему пользователя,
• обман пользователя для авторизации мошеннического стороннего приложения OAuth.

Этап шифрования в этой атаке требует блокирования каждого файла в SharePoint Online или OneDrive на большее количество версий, чем разрешено. Используя доступ к учетной записи, злоумышленник может либо создать слишком много версий файла, либо уменьшить ограничение версий библиотеки документов до небольшого числа, например «1», а затем приступить к шифрованию каждого файла.

Исследователи прокомментировали:

«Теперь все исходные (до злоумышленника) версии файлов потеряны, в облачной учетной записи остаются только зашифрованные версии каждого файла. На этом этапе злоумышленник может потребовать выкуп от организации».

Microsoft отметила, что более старые версии файлов потенциально могут быть восстановлены и восстановлены в течение дополнительных 14 дней с помощью службы поддержки Microsoft, однако команда исследователей Proofpoint не подтвердила это. Представитель Microsoft сообщил:

«Эта техника требует, чтобы пользователь уже был полностью скомпрометирован злоумышленником. Мы призываем наших клиентов практиковать безопасные компьютерные привычки, в том числе проявлять осторожность при переходе по ссылкам на веб-страницы, открытии неизвестных вложенных файлов или принятии передачи файлов».

Чтобы избежать таких атак, рекомендуется использовать надежную политику паролей, предотвращать крупномасштабную загрузку данных на неуправляемые устройства, обязательно использовать многофакторную аутентификацию (MFA) и поддерживать периодическое внешнее резервное копирование облачных файлов с конфиденциальными данными.

Компания Microsoft обратила внимание на функцию обнаружения программ-вымогателей OneDrive, которая уведомляет пользователей Microsoft 365 о потенциальной атаке и позволяет жертвам восстановить свои файлы. Microsoft также рекомендует использовать условный доступ для блокировки или ограничения доступа к контенту SharePoint и OnePoint с неуправляемых устройств.

Эксперты Proofpoint заявили:

«Файлы, хранящиеся в гибридном состоянии как на конечной точке, так и в облаке (например, в папках облачной синхронизации), снизят влияние этого нового риска. Поскольку злоумышленник не будет иметь доступа к локальным файлам и файлам конечной точки. Чтобы выполнить полный цикл выкупа, злоумышленнику придется скомпрометировать конечную точку и облачную учетную запись, чтобы получить доступ к конечной точке и файлам, хранящимся в облаке».