{"id":210462,"date":"2022-06-16T16:00:45","date_gmt":"2022-06-16T16:00:45","guid":{"rendered":"https:\/\/teknomers.com\/es\/una-caracteristica-de-microsoft-office-365-podria-ayudar-a-los-piratas-informaticos-de-ransomware-a-tomar-como-rehenes-los-archivos-en-la-nube\/"},"modified":"2022-06-16T16:00:46","modified_gmt":"2022-06-16T16:00:46","slug":"una-caracteristica-de-microsoft-office-365-podria-ayudar-a-los-piratas-informaticos-de-ransomware-a-tomar-como-rehenes-los-archivos-en-la-nube","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/una-caracteristica-de-microsoft-office-365-podria-ayudar-a-los-piratas-informaticos-de-ransomware-a-tomar-como-rehenes-los-archivos-en-la-nube\/","title":{"rendered":"Una caracter\u00edstica de Microsoft Office 365 podr\u00eda ayudar a los piratas inform\u00e1ticos de ransomware a tomar como rehenes los archivos en la nube"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Se ha descubierto una “funcionalidad peligrosa” en la suite de Microsoft 365 que podr\u00eda ser abusada por un actor malicioso para rescatar archivos almacenados en SharePoint y OneDrive y lanzar ataques a la infraestructura de la nube.<\/p>\n

El ataque de ransomware en la nube permite lanzar malware de cifrado de archivos para “cifrar archivos almacenados en SharePoint y OneDrive de una manera que los haga irrecuperables sin copias de seguridad dedicadas o una clave de descifrado del atacante”, Proofpoint dijo<\/a> en un informe publicado hoy.<\/p>\n

La secuencia de infecci\u00f3n se puede llevar a cabo utilizando una combinaci\u00f3n de API de Microsoft, scripts de interfaz de l\u00ednea de comandos (CLI) y scripts de PowerShell, agreg\u00f3 la empresa de seguridad empresarial.<\/p>\n

El ataque, en esencia, depende de una caracter\u00edstica de Microsoft 365 llamada Guardar autom\u00e1ticamente<\/a> que crea copias de versiones de archivos anteriores a medida que los usuarios modifican un archivo almacenado en OneDrive o SharePoint Online.<\/p>\n

\"La<\/a><\/div>\n

Comienza con la obtenci\u00f3n de acceso no autorizado a la cuenta de SharePoint Online o OneDrive de un usuario objetivo, seguido por el abuso del acceso para exfiltrar y cifrar archivos. Las tres v\u00edas m\u00e1s comunes para obtener el punto de apoyo inicial implican la violaci\u00f3n directa de la cuenta a trav\u00e9s de ataques de phishing o de fuerza bruta, enga\u00f1ar a un usuario para que autorice una aplicaci\u00f3n OAuth de terceros no autorizada o tomar el control de la sesi\u00f3n web de un usuario que ha iniciado sesi\u00f3n.<\/p>\n

Pero donde este ataque se diferencia de la actividad tradicional de ransomware de punto final es que la fase de cifrado requiere bloquear cada archivo en SharePoint Online o OneDrive m\u00e1s de lo l\u00edmite de versiones permitido<\/a>.<\/p>\n

\"Secuestro<\/div>\n

microsoft elabora<\/a> el comportamiento de control de versiones en su documentaci\u00f3n de la siguiente manera:<\/p>\n

Algunas organizaciones permiten versiones ilimitadas de archivos y otras aplican limitaciones. Es posible que descubra, despu\u00e9s de registrar la \u00faltima versi\u00f3n de un archivo, que falta una versi\u00f3n anterior. Si su versi\u00f3n m\u00e1s reciente es la 101.0 y nota que ya no hay una versi\u00f3n 1.0, significa que el administrador configur\u00f3 la biblioteca para permitir solo 100 versiones principales de un archivo. La adici\u00f3n de la versi\u00f3n 101 hace que se elimine la primera versi\u00f3n. Solo quedan las versiones 2.0 a 101.0. De manera similar, si se agrega una versi\u00f3n 102, solo quedan las versiones 3.0 a 102.0.<\/em><\/p>\n

Al aprovechar el acceso a la cuenta, un atacante puede crear demasiadas versiones de un archivo o, alternativamente, reducir el l\u00edmite de versiones de una biblioteca de documentos a un valor m\u00e1s bajo, como “1”, y luego cifrar cada archivo dos veces.<\/p>\n

\"La<\/a><\/div>\n

“Ahora todas las versiones originales (antes del atacante) de los archivos se pierden, dejando solo las versiones cifradas de cada archivo en la cuenta de la nube”, explicaron los investigadores. “En este punto, el atacante puede pedir un rescate a la organizaci\u00f3n”.<\/p>\n

Microsoft, en respuesta a los hallazgos, se\u00f1al\u00f3 que las versiones anteriores de los archivos pueden recuperarse y restaurarse potencialmente durante 14 d\u00edas adicionales con la ayuda del Soporte de Microsoft, un proceso que Proofpoint descubri\u00f3 que no tuvo \u00e9xito.<\/p>\n

Nos comunicamos con el gigante tecnol\u00f3gico para obtener m\u00e1s comentarios, y actualizaremos la historia si recibimos una respuesta.<\/p>\n

Para mitigar tales ataques, se recomienda aplicar una pol\u00edtica de contrase\u00f1a segura, exigir la autenticaci\u00f3n multifactor (MFA), evitar descargas de datos a gran escala en dispositivos no administrados y mantener copias de seguridad externas peri\u00f3dicas de archivos en la nube con datos confidenciales.<\/p>\n

“Los archivos almacenados en un estado h\u00edbrido tanto en el punto final como en la nube, como a trav\u00e9s de carpetas de sincronizaci\u00f3n en la nube, reducir\u00e1n el impacto de este nuevo riesgo, ya que el atacante no tendr\u00e1 acceso a los archivos locales\/del punto final”, dijeron los investigadores. “Para realizar un flujo de rescate completo, el atacante tendr\u00e1 que comprometer el punto final y la cuenta de la nube para acceder al punto final y a los archivos almacenados en la nube”.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Se ha descubierto una “funcionalidad peligrosa” en la suite de Microsoft 365 que podr\u00eda ser abusada por un<\/p>\n","protected":false},"author":1,"featured_media":210463,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1497,4661,1317,15186,440,4664,4662,6214,4668,4667,36,7983,4654,4658,4659,4653,4655,10650,6304,6213,2916,4663,4883,1299,4666,4665,5093,158,4660],"class_list":["post-210462","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-archivos","tag-ataques-ciberneticos","tag-ayudar","tag-caracteristica","tag-como","tag-como-hackear","tag-filtracion-de-datos","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-microsoft","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nube","tag-office","tag-piratas","tag-podria","tag-programa-malicioso-ransomware","tag-ransomware","tag-rehenes","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-tomar","tag-una","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/210462","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=210462"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/210462\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/210463"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=210462"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=210462"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=210462"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}