Un equipo de investigadores de Proofpoint dice que descubrió una funcionalidad estándar potencialmente peligrosa en Microsoft Office 365 que podría permitir que el ransomware cifre archivos almacenados en SharePoint y OneDrive de tal manera que se vuelvan completamente irrecuperables sin copias de seguridad dedicadas o una clave de descifrado.
El equipo, Or Safran, David Krispin, Assaf Friedman y Saikrishna Chavali, quería analizar dos de las aplicaciones empresariales en la nube más utilizadas dentro de las suites de Microsoft 365 y Office 365 para demostrar que los operadores de ransomware ahora pueden apuntar a los datos almacenados en la nube. y lanzar ataques a la infraestructura de la nube.
“Los ataques de ransomware tradicionalmente se han dirigido a datos a través de puntos finales o unidades de red”, dijeron en un blog de divulgación publicado hoy. “Hasta ahora, los equipos de TI y seguridad creían que las unidades en la nube serían más resistentes a los ataques de ransomware.
“Después de todo, la ahora familiar función ‘Autoguardar’, junto con el control de versiones y la antigua papelera de reciclaje para archivos, deberían haber sido suficientes como copias de seguridad. Sin embargo, ese puede no ser el caso por mucho más tiempo”.
La posible cadena de ataque funciona de la siguiente manera: tenga en cuenta que se puede automatizar mediante las API de Microsoft, los scripts de la interfaz de línea de comandos (CLI) y los scripts de PowerShell.
En primer lugar, los atacantes deben obtener acceso a las cuentas de SharePoint Online o OneDrive de uno o más usuarios comprometiendo o secuestrando sus identidades.
Luego tienen acceso a cualquier archivo propiedad del usuario comprometido o controlado por la aplicación OAuth de terceros; esto incluiría la cuenta OneDrive del usuario.
El tercer paso es reducir el límite de versiones de los archivos a un número bajo (como uno) y cifrar el archivo más veces que el límite de versiones (digamos dos veces, para simplificar). Este paso sería exclusivo del ransomware en la nube en comparación con la cadena de ataque para una versión basada en puntos finales. Tenga en cuenta que en este punto, un atacante también podría exfiltrar los archivos no cifrados para filtrarlos o venderlos en un golpe de doble extorsión.
Finalmente, ahora que se pierden todas las versiones originales de los archivos, dejando solo las versiones cifradas de cada archivo en la cuenta de la nube, el atacante puede exigir un rescate.
El tercer paso en la cadena es lo que haría viable este tipo de ataque, y depende de la funcionalidad exclusiva de los entornos de Microsoft, dijo Proofpoint.
Funciona así, explicó el equipo: cada biblioteca de documentos contenida en SharePoint Online o OneDrive tendrá una configuración configurable por el usuario para el número de versiones guardadas, que el propietario puede cambiar independientemente de sus otras funciones, es decir, no necesitan administrador derechos. Esta configuración se puede encontrar dentro de la configuración de versiones en la configuración de la lista en cada biblioteca.
Por diseño, si el usuario reduce el límite de versiones de la biblioteca, cualquier cambio adicional que se realice en los archivos contenidos en el archivo hará que las versiones anteriores sean muy difíciles de restaurar.
Hay dos formas de abusar maliciosamente de esto, ya sea creando demasiadas versiones de un archivo o reduciendo los límites de versión.
En primera instancia, debido a que la mayoría de las cuentas de OneDrive tienen un límite de versión predeterminado de 500, alguien podría editar los archivos 501 veces, por lo que la versión original tiene 501 versiones de antigüedad y, por lo tanto, ya no se puede restaurar. Luego podrían cifrar las 500 versiones restaurables.
Pero esto es bastante complejo y requiere más tiempo, secuencias de comandos y recursos de máquina, y probablemente sea más fácil de detectar para los defensores, por lo que el equipo de Proofpoint sugiere que la segunda táctica es más probable.
Por lo tanto, si reducen el número de versión de la biblioteca a uno, solo se guarda y se puede restaurar la versión más reciente del archivo antes de la última edición. Por lo tanto, al editar el archivo dos veces, ya sea cifrándolo dos veces o haciendo cambios en su contenido o metadatos y luego cifrándolo, un atacante puede asegurarse de que una organización no pueda restaurar la versión original sin la clave de descifrado.
Por cierto, establecer el límite de versiones en cero sería una pista falsa y no eliminará las versiones, que estarán disponibles para el usuario al restablecer el límite, o podrían intentar apagarlo y volverlo a encender.
Afortunadamente, dijo Proofpoint, también se aplicarán las recomendaciones estándar de mejores prácticas para la protección regular contra ransomware. Los defensores deben asegurarse de que la detección de cambios en la configuración de archivos para las cuentas de Office 365 esté activada si sus herramientas de seguridad lo permiten, porque aunque los usuarios pueden cambiar accidentalmente su configuración de versiones, no es un comportamiento muy común hacerlo, por lo que los cambios repentinos probablemente indicar que algo está pasando.
Otras mitigaciones, como dar prioridad a las llamadas personas muy atacadas, reforzar la gestión de acceso, actualizar la recuperación ante desastres y las prácticas de respaldo, implementar seguridad en la nube e inteligencia de amenazas e implementar tecnología de prevención de pérdida de datos, también serán efectivas.
Los defensores también pueden querer agregar las siguientes acciones a su respuesta e investigación, en caso de que se activen detectores de cambios de configuración riesgosos:
- Aumente las versiones restaurables para las bibliotecas afectadas.
- Identifique cualquier compromiso anterior de la cuenta o cambios de configuración riesgosos para la cuenta afectada.
- Busque cualquier actividad sospechosa de aplicaciones de terceros y revoque los tokens de OAuth si los encuentra.
- Averigüe si el usuario alguna vez se comportó fuera de la política, como realizar acciones riesgosas en la aplicación OAuth, ser negligente con datos confidenciales, etc.
El equipo reveló los problemas a Microsoft a través de su ruta de divulgación responsable, pero dijo que la respuesta de Microsoft fue que la funcionalidad de configuración para la configuración de versiones dentro de las listas “funciona según lo previsto”.
Microsoft agregó que las versiones anteriores de los archivos se pueden recuperar y restaurar “potencialmente” durante 14 días adicionales a través del Soporte de Microsoft.
El equipo dijo: “Proofpoint intentó recuperar y restaurar versiones antiguas a través de este proceso (es decir, con el soporte de Microsoft) y no tuvo éxito. En segundo lugar, incluso si el flujo de trabajo de configuración de la configuración de versiones es el previsto, Proofpoint ha demostrado que los atacantes pueden abusar de él con fines de ransomware en la nube”.
