Se ha descubierto una «funcionalidad peligrosa» en la suite de Microsoft 365 que podría ser abusada por un actor malicioso para rescatar archivos almacenados en SharePoint y OneDrive y lanzar ataques a la infraestructura de la nube.
El ataque de ransomware en la nube permite lanzar malware de cifrado de archivos para «cifrar archivos almacenados en SharePoint y OneDrive de una manera que los haga irrecuperables sin copias de seguridad dedicadas o una clave de descifrado del atacante», Proofpoint dijo en un informe publicado hoy.
La secuencia de infección se puede llevar a cabo utilizando una combinación de API de Microsoft, scripts de interfaz de línea de comandos (CLI) y scripts de PowerShell, agregó la empresa de seguridad empresarial.
El ataque, en esencia, depende de una característica de Microsoft 365 llamada Guardar automáticamente que crea copias de versiones de archivos anteriores a medida que los usuarios modifican un archivo almacenado en OneDrive o SharePoint Online.
Comienza con la obtención de acceso no autorizado a la cuenta de SharePoint Online o OneDrive de un usuario objetivo, seguido por el abuso del acceso para exfiltrar y cifrar archivos. Las tres vías más comunes para obtener el punto de apoyo inicial implican la violación directa de la cuenta a través de ataques de phishing o de fuerza bruta, engañar a un usuario para que autorice una aplicación OAuth de terceros no autorizada o tomar el control de la sesión web de un usuario que ha iniciado sesión.
Pero donde este ataque se diferencia de la actividad tradicional de ransomware de punto final es que la fase de cifrado requiere bloquear cada archivo en SharePoint Online o OneDrive más de lo límite de versiones permitido.
microsoft elabora el comportamiento de control de versiones en su documentación de la siguiente manera:
Algunas organizaciones permiten versiones ilimitadas de archivos y otras aplican limitaciones. Es posible que descubra, después de registrar la última versión de un archivo, que falta una versión anterior. Si su versión más reciente es la 101.0 y nota que ya no hay una versión 1.0, significa que el administrador configuró la biblioteca para permitir solo 100 versiones principales de un archivo. La adición de la versión 101 hace que se elimine la primera versión. Solo quedan las versiones 2.0 a 101.0. De manera similar, si se agrega una versión 102, solo quedan las versiones 3.0 a 102.0.
Al aprovechar el acceso a la cuenta, un atacante puede crear demasiadas versiones de un archivo o, alternativamente, reducir el límite de versiones de una biblioteca de documentos a un valor más bajo, como «1», y luego cifrar cada archivo dos veces.
«Ahora todas las versiones originales (antes del atacante) de los archivos se pierden, dejando solo las versiones cifradas de cada archivo en la cuenta de la nube», explicaron los investigadores. «En este punto, el atacante puede pedir un rescate a la organización».
Microsoft, en respuesta a los hallazgos, señaló que las versiones anteriores de los archivos pueden recuperarse y restaurarse potencialmente durante 14 días adicionales con la ayuda del Soporte de Microsoft, un proceso que Proofpoint descubrió que no tuvo éxito.
Nos comunicamos con el gigante tecnológico para obtener más comentarios, y actualizaremos la historia si recibimos una respuesta.
Para mitigar tales ataques, se recomienda aplicar una política de contraseña segura, exigir la autenticación multifactor (MFA), evitar descargas de datos a gran escala en dispositivos no administrados y mantener copias de seguridad externas periódicas de archivos en la nube con datos confidenciales.
«Los archivos almacenados en un estado híbrido tanto en el punto final como en la nube, como a través de carpetas de sincronización en la nube, reducirán el impacto de este nuevo riesgo, ya que el atacante no tendrá acceso a los archivos locales/del punto final», dijeron los investigadores. «Para realizar un flujo de rescate completo, el atacante tendrá que comprometer el punto final y la cuenta de la nube para acceder al punto final y a los archivos almacenados en la nube».