Microsoft 365 paketinde, kötü niyetli bir aktör tarafından SharePoint ve OneDrive’da depolanan dosyaları fidye almak ve bulut altyapısına saldırılar başlatmak için kötüye kullanılabilecek “tehlikeli bir işlevsellik parçası” keşfedildi.
Bulut fidye yazılımı saldırısı, “SharePoint ve OneDrive’da depolanan dosyaları, özel yedeklemeler veya saldırgandan gelen bir şifre çözme anahtarı olmadan kurtarılamaz hale getirecek şekilde şifrelemek” için dosya şifreleyen kötü amaçlı yazılım başlatmayı mümkün kılar. söz konusu bugün yayınlanan bir raporda
Microsoft API’leri, komut satırı arabirimi (CLI) komut dosyaları ve kurumsal güvenlik firması tarafından eklenen PowerShell komut dosyalarının bir kombinasyonu kullanılarak enfeksiyon dizisi gerçekleştirilebilir.
Saldırı, özünde, Microsoft 365 adı verilen bir özelliğe dayanıyor. Otomatik Kaydet Kullanıcılar OneDrive veya SharePoint Online’da depolanan bir dosyada düzenleme yaptıklarında eski dosya sürümlerinin kopyalarını oluşturur.
Hedef kullanıcının SharePoint Online veya OneDrive hesabına yetkisiz erişim elde etmekle başlar, ardından dosyaları sızdırmak ve şifrelemek için erişimi kötüye kullanır. İlk dayanağı elde etmenin en yaygın üç yolu, kimlik avı veya kaba kuvvet saldırıları yoluyla hesabı doğrudan ihlal etmeyi, bir kullanıcıyı sahte bir üçüncü taraf OAuth uygulamasını yetkilendirmesi için kandırmayı veya oturum açmış bir kullanıcının web oturumunu devralmayı içerir.
Ancak bu saldırının geleneksel uç nokta fidye yazılımı etkinliğinden farklı olduğu nokta, şifreleme aşamasının, SharePoint Online veya OneDrive’daki her dosyanın kilitlenmesinden daha fazlasını gerektirmesidir. izin verilen sürüm oluşturma sınırı.
Microsoft detaylandırır belgelerindeki sürüm oluşturma davranışı aşağıdaki gibidir –
Bazı kuruluşlar sınırsız dosya sürümüne izin verirken, diğerleri sınırlamalar uygular. Bir dosyanın en son sürümünü kontrol ettikten sonra eski bir sürümün eksik olduğunu keşfedebilirsiniz. En son sürümünüz 101.0 ise ve artık bir sürüm 1.0 olmadığını fark ederseniz, bu, yöneticinin kitaplığı bir dosyanın yalnızca 100 ana sürümüne izin verecek şekilde yapılandırdığı anlamına gelir. 101. sürümün eklenmesi ilk sürümün silinmesine neden oluyor. Yalnızca 2.0 ile 101.0 arasındaki sürümler kalır. Benzer şekilde, 102. bir sürüm eklenirse, yalnızca 3.0 ila 102,0 arasındaki sürümler kalır.
Saldırgan, hesaba erişimi kullanarak, bir dosyanın çok fazla sürümünü oluşturabilir veya alternatif olarak bir belge kitaplığının sürüm sınırını “1” gibi daha düşük bir düzeye indirebilir ve ardından her dosyayı iki kez şifrelemeye devam edebilir.
Araştırmacılar, “Artık dosyaların tüm orijinal (saldırgan öncesi) sürümleri kayboluyor ve her dosyanın yalnızca şifrelenmiş sürümleri bulut hesabında kalıyor” dedi. “Bu noktada saldırgan, kuruluştan fidye talep edebilir.”
Microsoft, bulgulara yanıt olarak, dosyaların eski sürümlerinin, Proofpoint’in başarısız bulduğu bir süreç olan Microsoft Desteği’nin yardımıyla 14 gün daha kurtarılabileceğine ve geri yüklenebileceğine dikkat çekti.
Daha fazla yorum için teknoloji devine ulaştık ve haber alırsak hikayeyi güncelleyeceğiz.
Bu tür saldırıları azaltmak için, güçlü bir parola politikası uygulamanız, çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmanız, yönetilmeyen cihazlara büyük ölçekli veri indirmelerini önlemeniz ve hassas verilerle bulut dosyalarının periyodik harici yedeklerini tutmanız önerilir.
Araştırmacılar, “Bulut senkronizasyon klasörleri gibi hem uç noktada hem de bulutta hibrit bir durumda depolanan dosyalar, saldırganın yerel/uç nokta dosyalarına erişimi olmayacağı için bu yeni riskin etkisini azaltacaktır” dedi. “Tam bir fidye akışı gerçekleştirmek için, saldırganın uç noktaya ve bulutta depolanan dosyalara erişmek için uç noktayı ve bulut hesabını tehlikeye atması gerekecek.”