Eine Microsoft Office 365-Funktion könnte Ransomware-Hackern helfen, Cloud-Dateien als Geiseln zu halten

  • [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEiuH6O1BLHKCwU8Cch8jPARIaJkgaPWfU1MR3qlLBEe6sXG0-ESC8C1KxlIafZXmkuKFSZvKV1ZePipByuOXdIPz4KHx-MUEUXHGsXZ0qLoOjBWLUriN49W10xDPTmotA068k82pg1C0OHkgGMhh9KZh6bEvypSE0X-FbzsSigv3RXhIZl6xeFnVACQ/s728-e1000/ms.jpg]

    In der Microsoft 365-Suite wurde eine „gefährliche Funktion“ entdeckt, die von einem böswilligen Akteur dazu missbraucht werden könnte, auf SharePoint und OneDrive gespeicherte Dateien zu erpressen und Angriffe auf die Cloud-Infrastruktur zu starten.

    Der Cloud-Ransomware-Angriff ermöglicht es, dateiverschlüsselnde Malware zu starten, um „auf SharePoint und OneDrive gespeicherte Dateien so zu verschlüsseln, dass sie ohne spezielle Backups oder einen Entschlüsselungsschlüssel des Angreifers nicht wiederhergestellt werden können“, so Proofpoint in einem heute veröffentlichten Bericht.

    Die Infektionssequenz kann mit einer Kombination aus Microsoft-APIs, Skripten für die Befehlszeilenschnittstelle (CLI) und PowerShell-Skripten durchgeführt werden, fügte die Sicherheitsfirma für Unternehmen hinzu.

    Der Angriff basiert im Kern auf einer Microsoft 365-Funktion namens AutoSave, die Kopien älterer Dateiversionen erstellt, wenn Benutzer eine auf OneDrive oder SharePoint Online gespeicherte Datei bearbeiten.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEi_-K3ujJyseNaosNnhLT4kFwMqa3p3tEEUrubFuVeYgwn0KI3SbSYTIZpiktTIVa2fAtNtsXxtix7QrtE4ZP5vNRmHFD4qrBGj0olqnOsSI7I6VySy7YwG9Z1NKO-AoIqFnhnEuJnxKmWpusTa_42jRCTAeeHJ-BR872VkdtpWd6NZszi8te5rgBL1tg/s1600/SOC2-ads.png]

    Es beginnt damit, dass man sich unbefugten Zugriff auf das SharePoint Online- oder OneDrive-Konto eines Zielbenutzers verschafft, gefolgt von einem Missbrauch des Zugriffs zum Exfiltrieren und Verschlüsseln von Dateien. Die drei gängigsten Wege, um zunächst Fuß zu fassen, sind das direkte Eindringen in das Konto über Phishing- oder Brute-Force-Angriffe, das Verleiten eines Benutzers zur Autorisierung einer betrügerischen OAuth-Anwendung eines Drittanbieters oder die Übernahme der Websitzung eines angemeldeten Benutzers.

    Dieser Angriff unterscheidet sich jedoch von herkömmlichen Ransomware-Aktivitäten für Endpunkte dadurch, dass die Verschlüsselungsphase das Sperren jeder Datei auf SharePoint Online oder OneDrive über die zulässige Versionsgrenze hinaus erfordert.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEggoTaF7Kw3QIe9eNtoJYB3ku6K2NpW5M4YzNmJzFOgmfSdJEvNPGyyscg5zvTMglt9jn3_5AH4XI2rYzzBdVJi1PjpmAisxVte9_o8qHbBFO1K0Nyh40vCirniS_mFOg6jANokR4JQW6NIsZKbftnD3H4Rj2_olEzUCw2BVA5h4m2qa0sUvLPulVAw/s728-e1000/OFFICE.jpg]

    Microsoft beschreibt das Versionsverhalten in seiner Dokumentation wie folgt –

    Einige Organisationen lassen unbegrenzte Versionen von Dateien zu, andere legen Beschränkungen fest. Es kann vorkommen, dass Sie nach dem Einchecken der neuesten Version einer Datei feststellen, dass eine alte Version fehlt. Wenn Ihre neueste Version 101.0 ist und Sie feststellen, dass es keine Version 1.0 mehr gibt, bedeutet dies, dass der Administrator die Bibliothek so konfiguriert hat, dass nur 100 Hauptversionen einer Datei zulässig sind. Das Hinzufügen der 101. Version führt dazu, dass die erste Version gelöscht wird. Es bleiben nur die Versionen 2.0 bis 101.0 übrig. Wenn eine 102. Version hinzugefügt wird, verbleiben nur die Versionen 3.0 bis 102.0.

    Indem er den Zugriff auf das Konto ausnutzt, kann ein Angreifer entweder zu viele Versionen einer Datei erstellen oder alternativ die Versionsgrenze einer Dokumentenbibliothek auf einen niedrigeren Wert wie „1“ herabsetzen und dann jede Datei zweimal verschlüsseln.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    „Jetzt sind alle Originalversionen (vor dem Angreifer) der Dateien verloren, so dass nur noch die verschlüsselten Versionen der einzelnen Dateien im Cloud-Konto vorhanden sind“, erklären die Forscher. „An diesem Punkt kann der Angreifer ein Lösegeld von der Organisation verlangen“.

    Microsoft wies in seiner Antwort auf die Ergebnisse darauf hin, dass ältere Dateiversionen mit Hilfe des Microsoft-Supports potenziell wiederhergestellt und für weitere 14 Tage wiederhergestellt werden können, ein Prozess, der laut Proofpoint nicht erfolgreich war.

    Wir haben den Tech-Giganten um weitere Kommentare gebeten und werden den Artikel aktualisieren, sobald wir eine Antwort erhalten.

    Um solche Angriffe abzuschwächen, wird empfohlen, strenge Passwortrichtlinien durchzusetzen, eine Multi-Faktor-Authentifizierung (MFA) vorzuschreiben und das Herunterladen großer Datenmengen auf nicht verwaltete Geräte zu verhindern.

    „Dateien, die in einem hybriden Zustand sowohl auf dem Endpunkt als auch in der Cloud gespeichert sind, z. B. über Cloud-Synchronisierungsordner, verringern die Auswirkungen dieses neuartigen Risikos, da der Angreifer keinen Zugriff auf die lokalen/Endpunkt-Dateien hat“, so die Forscher. „Um einen vollständigen Lösegeldfluss durchzuführen, muss der Angreifer den Endpunkt und das Cloud-Konto kompromittieren, um auf die Endpunkt- und Cloud-gespeicherten Dateien zuzugreifen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com