WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗi cấu hình trong Office 365 cho phép tấn công ransomware vào OneDrive, SharePoint
Một “chức năng tiềm ẩn nguy hiểm” trong Microsoft Office 365 vừa được cảnh báo cho phép kẻ tấn công khởi động một cuộc tấn công vào hạ tầng đám mây và đòi tiền chuộc các tệp được lưu trữ trong SharePoint và OneDrive.
Các tệp này, được lưu trữ qua tính năng “auto-save” và được sao lưu trên đám mây, thường giúp người dùng cuối bảo vệ dữ liệu khỏi các cuộc tấn công ransomware. Tuy nhiên, theo các nhà nghiên cứu, điều này không phải lúc nào cũng đúng và các tệp được lưu trữ trên SharePoint và OneDrive có thể bị tấn công bởi ransomware.
Cụ thể, Proofpoint đã phát hiện ra một phần chức năng tiềm ẩn nguy hiểm trong Office 365 hoặc Microsoft 365 cho phép ransomware mã hóa các tệp được lưu trữ trên SharePoint và OneDrive theo cách khiến chúng không thể khôi phục được nếu không có bản sao lưu chuyên dụng hoặc khóa giải mã từ kẻ tấn công.
Theo Proofpoint, các công cụ như sao lưu đám mây thông qua tính năng “auto-save” của Microsoft đã là một phần của các phương pháp tốt nhất nhằm ngăn chặn các cuộc tấn công ransomware. Nếu dữ liệu bị khóa trên một thiết bị đầu cuối, sẽ có một bản sao lưu đám mây. Cấu hình số lượng phiên bản của tệp được lưu trong OneDrive và SharePoint làm giảm thêm thiệt hại khi bị tấn công. Khả năng mã hóa các phiên bản trước làm giảm khả năng thành công của một cuộc tấn công ransomware.
Tuy nhiên, những biện pháp phòng ngừa này có thể bị vượt qua nếu kẻ tấn công sửa đổi giới hạn phiên bản, cho phép mã hóa tất cả các phiên bản đã biết của tệp.
“Hầu hết các tài khoản OneDrive có giới hạn phiên bản sao lưu mặc định là 500. Kẻ tấn công có thể chỉnh sửa tệp 501 lần. Giờ đây, phiên bản gốc của tệp là phiên bản thứ 501 và do đó không còn khôi phục được nữa. Mã hóa tệp sau mỗi lần chỉnh sửa trong số 501 lần chỉnh sửa khiến tất cả 500 phiên bản có thể phục hồi đều bị mã hóa. Các tổ chức không thể khôi phục phiên bản gốc của tệp ngay cả khi họ cố gắng tăng giới hạn phiên bản vượt quá số lượng phiên bản chỉnh sửa của kẻ tấn công. Trong trường hợp này, ngay cả khi giới hạn phiên bản tăng lên 501 hoặc hơn, tệp đã lưu từ phiên bản 501 trở về trước là không thể khôi phục".
Nhưng “Proofpoint đã cố gắng truy xuất và khôi phục các phiên bản cũ thông qua quá trình này (tức là với Microsoft Support) và không thành công. Ngay cả khi quy trình cấu hình cài đặt phiên bản đúng như dự định, thì tính năng này vẫn có thể bị lạm dụng bởi những kẻ tấn công có mục đích ransomware đám mây”.
Các tệp này, được lưu trữ qua tính năng “auto-save” và được sao lưu trên đám mây, thường giúp người dùng cuối bảo vệ dữ liệu khỏi các cuộc tấn công ransomware. Tuy nhiên, theo các nhà nghiên cứu, điều này không phải lúc nào cũng đúng và các tệp được lưu trữ trên SharePoint và OneDrive có thể bị tấn công bởi ransomware.
Cụ thể, Proofpoint đã phát hiện ra một phần chức năng tiềm ẩn nguy hiểm trong Office 365 hoặc Microsoft 365 cho phép ransomware mã hóa các tệp được lưu trữ trên SharePoint và OneDrive theo cách khiến chúng không thể khôi phục được nếu không có bản sao lưu chuyên dụng hoặc khóa giải mã từ kẻ tấn công.
Cách hoạt động của chuỗi tấn công
Chuỗi tấn công bắt đầu với việc xâm phạm thông tin đăng nhập tài khoản người dùng Office 365, dẫn đến tiếp quản tài khoản, sau đó là xâm nhập dữ liệu trong môi trường SharePoint và OneDrive và cuối cùng là tấn công ransomware.Theo Proofpoint, các công cụ như sao lưu đám mây thông qua tính năng “auto-save” của Microsoft đã là một phần của các phương pháp tốt nhất nhằm ngăn chặn các cuộc tấn công ransomware. Nếu dữ liệu bị khóa trên một thiết bị đầu cuối, sẽ có một bản sao lưu đám mây. Cấu hình số lượng phiên bản của tệp được lưu trong OneDrive và SharePoint làm giảm thêm thiệt hại khi bị tấn công. Khả năng mã hóa các phiên bản trước làm giảm khả năng thành công của một cuộc tấn công ransomware.
Tuy nhiên, những biện pháp phòng ngừa này có thể bị vượt qua nếu kẻ tấn công sửa đổi giới hạn phiên bản, cho phép mã hóa tất cả các phiên bản đã biết của tệp.
“Hầu hết các tài khoản OneDrive có giới hạn phiên bản sao lưu mặc định là 500. Kẻ tấn công có thể chỉnh sửa tệp 501 lần. Giờ đây, phiên bản gốc của tệp là phiên bản thứ 501 và do đó không còn khôi phục được nữa. Mã hóa tệp sau mỗi lần chỉnh sửa trong số 501 lần chỉnh sửa khiến tất cả 500 phiên bản có thể phục hồi đều bị mã hóa. Các tổ chức không thể khôi phục phiên bản gốc của tệp ngay cả khi họ cố gắng tăng giới hạn phiên bản vượt quá số lượng phiên bản chỉnh sửa của kẻ tấn công. Trong trường hợp này, ngay cả khi giới hạn phiên bản tăng lên 501 hoặc hơn, tệp đã lưu từ phiên bản 501 trở về trước là không thể khôi phục".
Phản hồi của Microsoft
Theo Microsoft, “chức năng cấu hình cho cài đặt phiên bản trong danh sách đang hoạt động như dự kiến. Các phiên bản cũ hơn của tệp có thể được khôi phục trong 14 ngày với sự hỗ trợ của Microsoft Support”.Nhưng “Proofpoint đã cố gắng truy xuất và khôi phục các phiên bản cũ thông qua quá trình này (tức là với Microsoft Support) và không thành công. Ngay cả khi quy trình cấu hình cài đặt phiên bản đúng như dự định, thì tính năng này vẫn có thể bị lạm dụng bởi những kẻ tấn công có mục đích ransomware đám mây”.
Các bước bảo vệ Microsoft Office 365
Proofpoint khuyến nghị người dùng củng cố tài khoản Office 365 bằng cách thực thi chính sách mật khẩu mạnh, cho phép xác thực đa yếu tố (MFA) và thường xuyên duy trì bản sao lưu bên ngoài. Ngoài ra,- Tăng các phiên bản có thể phục hồi cho các thư viện tài liệu bị ảnh hưởng.
- Xác định cấu hình có nguy cơ cao bị thay đổi và các tài khoản bị xâm phạm trước đó.
- Các mã thông báo OAuth cho bất kỳ ứng dụng bên thứ ba đáng ngờ nào phải được thu hồi ngay lập tức.
- Tìm kiếm các mẫu vi phạm chính sách trên đám mây, email, web và điểm cuối của bất kỳ người dùng nào.
Nguồn: Threatpost