Os especialistas em segurança alertam que os invasores podem aproveitar a funcionalidade do Microsoft Office 365 para bloquear documentos armazenados em SharePoint e OneDrive em ataques de ransomware.
Os arquivos, que são preservados com recurso de auto-save e backup de segurança na nuvem, normalmente mantém os dados do usuário finais protegidos de ações de ransomware. Por outro lado, especialistas indicam que nem sempre isso é verdadeiro e que os arquivos armazenados no SharePoint e OneDrive podem ser vulneráveis a um ciberataque de ransomware.
Segundo a Pesquisa da Proofpoint, o que foi apresentado como “funcionalidade perigosa potencialmente” foi constatado na semana passada em um relatório divulgado.
A Proofpoint identificou uma capacidade arriscada no Office 365 ou no Microsoft 365 que pode permitir que o ransomware criptografe os documentos armazenados no SharePoint e no OneDrive, tornando-os inacessíveis sem backups dedicados ou uma chave de decodificação fornecida pelo invasor, de acordo com pesquisadores.
De que maneira opera a sequência de ações ofensivas?
A cadeia de invasão assume o pior cenário e inicia-se com a infiltração de credenciais de conta de um usuário do Office 365. Isto leva à aquisição de controle, depois à detecção de informações no interior do SharePoint e OneDrive e, eventualmente, à exposição dos dados e à atividade de criptografia de dados.
Proofpoint argumenta que a utilização de ferramentas como backups em nuvem com o recurso “auto-save” da Microsoft são práticas fundamentais para prevenir um ataque de ransomware. Se os dados forem bloqueados num determinado ponto, o backup em nuvem pode salvar a situação. Configurar a quantidade de versões de um arquivo a serem guardadas no OneDrive ou SharePoint reduz ainda mais os possíveis danos de um ataque. Isso diminui as chances de o adversário criptografar versões antigas de arquivos armazenados online e, assim, torna um ataque ransomware menos provável.
Proofpoint afirma que estas medidas de segurança podem ser evitadas por um invasor modificando os limites de versão, possibilitando que o agressor criptografe todas as edições conhecidas de um determinado ficheiro.
A maioria dos contos do OneDrive tem um limite de 500 versões como padrão. Se um invasor editar arquivos em uma biblioteca de documentos mais de 500 vezes, a versão original (pre-atacante) dos arquivos não poderá mais ser restaurada. Os pesquisadores recomendaram criptografar os arquivos após cada uma das 501 edições. Assim, todas as 500 versões restauráveis são criptografadas. Mesmo se as organizações tentarem aumentar os limites de versão para mais de 501, os arquivos salvo 501 vezes ou mais não podem ser recuperados.
Um inimigo que tenha acesso a contas comprometidas pode abusar da função de versionamento encontrada nas configurações da lista e afetar todos os arquivos na biblioteca de documentos. A configuração de versão pode ser modificada sem precisar de privilégio de administrador, permitindo que um invasor aproveite essa oportunidade criando diversas versões de um arquivo ou codificando-o mais do que o limite de versão. Por exemplo, se o limite de versão for definido para apenas 1, o invasor poderá criptografar o arquivo duas vezes. Os pesquisadores afirmaram: “Em alguns casos, o atacante pode retirar os arquivos não criptografados como parte de uma estratégia de extorsão dupla”.
Microsoft respondeu ao Google: “Não vamos abandonar nossos esforços”.
Quando foi questionada, a Microsoft afirmou que o recurso de configuração de versões em listas está funcionando conforme o planejado, de acordo com o Proofpoint. Eles também disseram que é possível restaurar arquivos antigos por um período adicional de 14 dias com a ajuda do suporte da Microsoft, como foi citado pelos pesquisadores.
Investigadores contratados no relatório afirmaram: “A Proofpoint tentou recuperar e restaurar versões anteriores usando este método (isto é, com suporte da Microsoft) e não foi bem-sucedida. Além disso, mesmo que o procedimento de ajuste de versões tenha sido realizado corretamente, a Proofpoint mostrou que ele pode ser explorado por invasores para propósitos de ransomware na nuvem.”
Passos para proteger o Microsoft Office 365
Proofpoint indica que os usuários do Office 365 renovem suas contas com uma política robusta de senha, permitindo a autenticação multifator (MFA) e salvaguardando de forma regular os dados confidenciais através de backup externo.
O pesquisador também propôs as “táticas de resposta e análise” que devem ser empregadas se ocorrer uma alteração na configuração.
- Aumente a recuperabilidade das bibliotecas de documentos que foram atingidas.
- Verificar a configuração de alto risco que foi modificada e verificar as contas que foram anteriormente invadidas.
- Os tokens de autenticação OAuth para qualquer aplicativo de terceiros suspeitos devem ser cancelados imediatamente.
- Examine padrões de descumprimento de regras para nuvem, e-mail, web e terminais por todos os usuários.
Os pesquisadores afirmam que armazenar arquivos no endpoint e na nuvem em um formato híbrido, como através de pastas de sincronização, minimiza o novo risco, uma vez que o atacante não tem acesso aos arquivos do local/endpoint. Se o objetivo for obter um fluxo de resgate completo, é necessário que o atacante comprometa tanto o endpoint quanto a conta na nuvem para ter acesso aos documentos do endpoint e da nuvem.
Mande esse artigo para outras pessoas.
- Cordialmente, eu gostaria de fazer um pedido.