15 Июля 2022 17:16 15 Июл 2022 17:16 |

Поделиться

В Microsoft 365 обнаружены удобные для хакеров изъяны, которые софтверный гигант посчитал малозначительными

Проблема в Microsoft 365

Исследователи компании Proofpoint выявили в офисном ПО Microsoft 365 функцию, которая может использоваться для вымогательства у пользователей сервиса.

Эта функция, которую эксперты описали как «потенциально опасную», позволяет шифровать файлы в SharePoint и OneDrive, причем это шифрование делает невозможным восстановление файлов без резервных копий или ключа.

Речь идет не о том, что в SharePoint или OneDrive есть свои шифровальные инструменты, которыми можно воспользоваться во вред. Проблема в возможности злоупотреблять функцией AutoSave, которая создает облачные копии более старых версий файлов после их редактирования в OneDrive или SharePoint Online.

Каждая библиотека документов в SharePoint Online или OneDrive обладает набором атрибутов, в частности, номером сохраненных версий. Пользователь может изменить это значение в сторону увеличения или уменьшения. При компрометации аккаунтов злоумышленники, естественно, тоже получают такую возможность.

«По умолчанию, если вы снижаете предельное значение количества версий, любые последующие изменения в файлах в библиотеке приведут к тому, что более старые версии будет очень сложно восстановить... Существуют два способа злоупотребления механизмом регулирования числа версий: либо радикальное увеличение этого значения, либо понижение заданного лимита в библиотеке», — указывается в исследовании Proofpoint.

Говоря предметно, этапы атаки выглядят следующим образом: сперва злоумышленники компрометируют аккаунты SharePoint Online или OneDrive и получают доступ ко всем файлам, принадлежащим скомпрометированному пользователю или контролируемым сторонним OAuth-приложением (в том числе аккаунтом OneDrive). Далее начинаются манипуляции с количеством версий.

«Снизьте количество возможных версий файлов до малого значения, даже единицы, чтобы все было просто. Зашифруйте файлы больше раз, чем допускает лимит количества версий: например, если это значение выставлено на единицу, зашифруйте файл дважды. Этот шаг уникален для облачных шифровальщиков», — отмечается в публикации Proofpoint.

Детали проблемы

В большей части случаев аккаунты OneDrive предполагают до 500 резервных копий разных версий. Злоумышленники могут, при желании, зашифровать их все, но это потребует больше ресурсов и времени, и сделать это незаметно тоже очень сложно.

Кроме того, злоумышленники также имеют возможность выводить незашифрованные файлы и требовать выкуп и за них. В конечном счете все исходные версии, существовавшие до компрометации, уничтожены; в облаке остаются только зашифрованные. Время требовать выкуп.

Как с помощью ad-hoc инструмента снизить расходы на внедрение аналитики

Импортонезависимость

Все эти операции вполне можно автоматизировать, используя API Microsoft, интерфейсы командной строки и скрипты PowerShell.

Как указывается в исследовании, в Microsoft изначально сочли проблему малозначительной, сославшись на то, что всегда есть возможность восстановления старых версий.

Однако в Proofpoint доказали, что это не совсем так: попытки извлечь старые файлы после изменения схемы присвоения им версий оказались безуспешны. В службе поддержки пользователей Microsoft сделать ничего не смогли.

«Фактически речь идет о том, что механизм управления версиями в сервисах Microsoft плохо защищен от злоупотреблений, так что защитная по своей природе мера становится источником дополнительной угрозы, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Однако злоумышленники могут этим воспользоваться только в том случае, если уже скомпрометировали аккаунты пользователей. Самое важное — не допустить именно первичного проникновения злоумышленников. От того, воспользуются они проблемной функцией или нет, зависит лишь то, насколько болезненным будет итоговый ущерб от атаки. И то лишь частично».

В исследовании рекомендуется принять следующие меры. Во-первых, определить наиболее вероятные объекты атаки — ответственных лиц, чья документация представляет особую важность, и повысить их защищенность всеми доступными способами. Также рекомендовано установить политику использования надежных паролей, многофакторной авторизации и разграничения доступа. Ну а главное — следует принять меры по надежному резервированию данных, потеря которых может особенно болезненно сказаться на функционировании компании. Также стоит настроить сетевое оборудование таким образом, чтобы конфиденциальные данные не могли быть скачаны на неавторизованные устройства.

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка