Une faille « probablement dangereuse » a été découverte dans Microsoft Workplace 365 qui pourrait permettre aux cyberattaquants de rançonner des fichiers enregistrés sur Sharepoint et OneDrive, deux applications cloud d’entreprise largement utilisées, selon les scientifiques de Proofpoint.
Le Les chercheurs de Proofpoint ont exposé leurs découvertes jeudi matin dans un article et ont conclu que les informations du cloud pourraient être plus vulnérables aux attaques de ransomwares qu’on ne le pensait auparavant.
« Les attaques de ransomwares ont généralement ciblé des informations sur les terminaux ou les lecteurs réseau », a composé le Chercheurs Proofpoint. « Auparavant, les groupes informatiques et de sécurité pensaient que les disques cloud seraient plus résistants aux attaques de ransomwares. … [] Proofpoint a en fait trouvé une fonctionnalité potentiellement dangereuse dans Workplace 365 ou Microsoft 365 qui permet aux ransomwares de chiffrer les fichiers enregistrés sur SharePoint et OneDrive d’une manière qui les rend irrécupérables sans sauvegardes dédiées ou une clé de déchiffrement de l’agresseur. »
Les scientifiques – Or Safran, David Krispin, Assaf Friedman et Saikrishna Chavali – ont déclaré que leurs découvertes montrent que » les stars du ransomware peuvent désormais cibler les informations des organisations dans le cloud et lancer des attaques sur les installations du cloud. »
Dans une réponse aux préoccupations par e-mail du CRN, Proofpoint a déclaré dans un communiqué que « pour l’instant, nous n’avons en fait pas vu cette fonctionnalité exploitée dans la nature. »
Lorsqu’on lui a demandé si Microsoft avait été informé de la vulnérabilité potentielle découverte par Proofpoint, l’entreprise a écrit : « Avant ce blog, Proofpoint a suivi la divulgation de Microsoft cours et a reçu l’action de la liste ci-dessous : les performances de configuration des paramètres de gestion des versions dans les listes fonctionnent comme prévu (et) les anciennes versions des fichiers peuvent être potentiellement récupérées et restaurées pendant 14 jours supplémentaires avec l’aide de l’assistance Microsoft. »
Dans la déclaration au CRN, Proofpoint a déclaré qu’il « a tenté de récupérer et de ramener les anciennes versions à la suite du processus (Microsoft), mais n’a pas été efficace. Néanmoins, même si la configuration des paramètres de gestion des versions a fonctionné comme prévu, Proofpoint a révélé que ces performances peuvent être exploitées par des attaquants à des fins de rançongiciels dans le cloud. »
La déclaration de Proofpoint au CRN s’est terminée : « Nous sommes positifs dans nos recherches étudiez et attendez. »
Microsoft pourrait ne pas être saisi d’un commentaire.
Selon le blog Proofpoint, les scientifiques ont identifié une chaîne d’attaque potentielle et enregistré le étapes que les agresseurs de rançongiciels pourraient théoriquement utiliser.
« Dès qu’elle est effectuée, l’attaque crypte les fichiers des comptes des utilisateurs menacés », ont écrit les chercheurs. « Tout comme avec l’activité de rançongiciel sur les terminaux, ces fichiers ne peuvent alors être récupérés avec des secrets de déchiffrement. »
Ils ont ajouté que les actions d’attaque peuvent être « automatisées à l’aide des API Microsoft, des scripts d’interface de ligne de commande (CLI) et des scripts PowerShell. »
Une attaque commencerait initialement lorsque des intrus « accèdent aux comptes SharePoint Online ou OneDrive de plusieurs utilisateurs en compromettant ou détournant l’identité des utilisateurs », ont écrit les chercheurs.
L’agresseur aurait alors accès à tout « fichier appartenant à l’utilisateur compromis ou contrôlé par l’application OAuth tierce (qui consisterait en le OneDrive de l’utilisateur compte également) », ont déclaré les chercheurs.
La prochaine action consiste à réduire « la limitation de version des fichiers à un nombre faible tel que 1, pour que cela reste facile. Sécurisez le fichier plus de fois que la limitation de version. Avec la limitation d’exemple de 1, sécurisez le fichier deux fois. »
L’article indique ensuite : « Maintenant, toutes les variantes initiales (avant l’attaquant) des fichiers sont perdues, ne laissant que les variantes cryptées de chaque fichier dans le compte cloud. À ce moment, l’attaquant peut demander une rançon à l’entreprise. »
Ce n’est pas la toute première fois que des chercheurs extérieurs déclarent avoir découvert des défauts dans le cloud de Microsoft
Plus tôt cette année, Wiz, dans le cadre d’une étude de recherche en cours sur la sécurité du cloud Microsoft, a signalé que son scientifique avait découvert une vulnérabilité dans la base de données Azure du géant des applications logicielles qui permettait d’accéder aux données délicates d’autres consommateurs, tel que rapporté par CRN.
Fondée en 2002, Proofpoint, basée à Sunnyvale, en Californie, a longtemps été qualifiée de centrale de sécurité des e-mails, mais au cours des dernières années, elle a élargi ses offres pour inclure la sécurité basée sur le cloud. produits.
En 2015, le géant du capital-investissement Thoma Bravo a privatisé la société cotée en bourse Proofpoint dans le cadre d’une opération d’acquisition d’une valeur de 12,3 milliards de dollars.
Toute l’actualité en temps réel, est sur L’Entrepreneur
