Crédit : Dreamstime
Les chercheurs avertissent que les fichiers hébergés dans le cloud peuvent ne pas manquer de portée pour les acteurs du ransomware qui, bien qu’ils soient plus difficiles à chiffrer de manière permanente en raison des fonctions de sauvegarde automatisées du service cloud, il existe encore des méthodes pour rendre la vie difficile aux organisations.
Les chercheurs de Proofpoint ont conçu un circonstance d’attaque de concept qui inclut l’abus des paramètres de gestion des versions de fichiers dans les services OneDrive et SharePoint Online de Microsoft qui appartiennent aux offres cloud Office 365 et Microsoft 365. De plus, étant donné que ces services donnent accès à la plupart de leurs fonctions via des API, les attaques potentielles peuvent être automatisées à l’aide de l’interface utilisateur de ligne de commande et des scripts PowerShell.
Réduire le nombre de versions de documents
La chaîne d’attaque décrite par Proofpoint commence par des pirates mettant en péril plusieurs comptes SharePoint Online ou OneDrive. Cela peut être fait par une variété de méthodes consistant à hameçonner, contaminer l’appareil de l’utilisateur avec des logiciels malveillants puis détourner leurs sessions validées, ou tromper les utilisateurs en donnant à une application tierce l’accès à leur compte via OAuth.
Quoi qu’il en soit de la méthode, cela donnerait aux agresseurs l’accès à tous les fichiers appartenant à l’utilisateur compromis. Dans SharePoint, cela s’appelle une bibliothèque de documents et est essentiellement une liste pouvant contenir de nombreux fichiers et leurs métadonnées.
Une fonction des fichiers dans OneDrive et SharePoint est la gestion des versions des fichiers, qui est utilisée par la fonction d’enregistrement automatique chaque fois que une modification est effectuée. Par défaut, les fichiers peuvent avoir jusqu’à 500 versions, mais ce paramètre est configurable, par exemple sur une seule.
» Chaque bibliothèque de documents dans SharePoint Online et OneDrive possède un paramètre configurable par l’utilisateur pour le nombre de versions enregistrées. variations, que le propriétaire du site Web peut modifier, quels que soient ses autres rôles », expliquent les chercheurs de Proofpoint. » Ils ne nécessitent pas de détenir une fonction d’administrateur ou des opportunités associées. Les paramètres de gestion des versions se trouvent sous les paramètres de liste pour chaque bibliothèque de documents. «
Cela ouvre deux méthodes d’attaques. L’un consiste pour l’agresseur à effectuer 501 modifications et à sécuriser le fichier après chaque modification. De cette façon, toutes les 500 versions conservées précédentes seront écrasées par des versions cryptées du document. Le problème avec cette technique est qu’elle prend du temps et nécessite beaucoup de ressources car l’opération de chiffrement doit être répétée de nombreuses fois.
Une méthode plus rapide consiste à personnaliser le paramètre de version sur un et après cela, faites seulement 2 modifications et crypter le fichier après chacun. Cela éliminera toutes les variantes précédemment enregistrées – au minimum celles directement disponibles par l’utilisateur ou l’organisation dont ils font partie.
Limites de l’attaque
L’une des limites de cette attaque réside dans les documents stockés à la fois sur le terminal de l’utilisateur et dans le cloud et synchronisés. Si l’ennemi n’a pas non plus accès au point de terminaison, le fichier peut être récupéré à partir de la copie locale de l’utilisateur.
Une autre contrainte potentielle est la guérison via l’assistance Microsoft. Selon Proofpoint, la société a contacté Microsoft pour signaler ce scénario d’abus et la société aurait déclaré que ses employés de support client peuvent ramener des variations de fichiers retournant 2 semaines.
Cela dépend probablement du système de sauvegarde automatisé du service qui n’est pas directement disponible pour les utilisateurs ou les organisations. Néanmoins, les chercheurs de Proofpoint affirment qu’ils ont essayé de ramener d’anciennes variantes de documents via le support Microsoft et qu’ils n’ont pas réussi.
Redmond conseille aux organisations de garder un œil sur les modifications de configuration de fichiers dans leur compte Workplace 365. Les modifications des paramètres de gestion des versions sont rares et doivent être traitées comme un comportement suspect.
Mettre en œuvre des politiques de mots de passe solides et une authentification multifacteur, examiner les applications tierces avec un accès OAuth aux comptes et avoir une politique de sauvegarde externe qui couvre les fichiers cloud sont également de bonnes suggestions.
Toute l’actualité en temps réel, est sur L’Entrepreneur
