Une « fonctionnalité dangereuse » a été découverte dans la suite Microsoft 365 qui pourrait être potentiellement exploitée par un acteur malveillant pour rançonner des fichiers stockés sur SharePoint et OneDrive et lancer des attaques sur l’infrastructure cloud. L’attaque de ransomware dans le cloud permet de lancer des logiciels malveillants de cryptage de fichiers pour « chiffrer les fichiers stockés sur SharePoint et OneDrive d’une manière qui les rend irrécupérables sans sauvegardes dédiées ou clé de déchiffrement de l’attaquant », a déclaré Proofpoint dans un rapport publié aujourd’hui. La séquence d’infection peut être effectuée à l’aide d’une combinaison d’API Microsoft, de scripts d’interface de ligne de commande (CLI) et de scripts PowerShell, a ajouté la société de sécurité d’entreprise. L’attaque, à la base, repose sur une fonctionnalité Microsoft 365 appelée AutoSave qui crée des copies des anciennes versions de fichiers au fur et à mesure que les utilisateurs apportent des modifications à un fichier stocké sur OneDrive ou SharePoint Online. Cela commence par l’obtention d’un accès non autorisé au compte SharePoint Online ou OneDrive d’un utilisateur cible, suivi d’un abus d’accès pour exfiltrer et chiffrer des fichiers. Les trois moyens les plus courants d’obtenir l’ancrage initial consistent à violer directement le compte via des attaques de phishing ou de force brute, à inciter un utilisateur à autoriser une application OAuth tierce malveillante ou à prendre le contrôle de la session Web d’un utilisateur connecté. Mais là où cette attaque se distingue de l’activité traditionnelle des rançongiciels sur les terminaux, c’est que la phase de chiffrement nécessite de verrouiller chaque fichier sur SharePoint Online ou OneDrive au-delà de la limite de version autorisée.
Microsoft élabore le comportement de gestion des versions dans sa documentation comme suit – Certaines organisations autorisent des versions illimitées de fichiers et d’autres appliquent des limitations. Vous pouvez découvrir, après avoir archivé la dernière version d’un fichier, qu’une ancienne version est manquante. Si votre version la plus récente est 101.0 et que vous remarquez qu’il n’y a plus de version 1.0, cela signifie que l’administrateur a configuré la bibliothèque pour n’autoriser que 100 versions majeures d’un fichier. L’ajout de la 101e version entraîne la suppression de la première version. Seules les versions 2.0 à 101.0 restent. De même, si une 102e version est ajoutée, seules les versions 3.0 à 102.0 restent. En tirant parti de l’accès au compte, un attaquant peut soit créer trop de versions d’un fichier, soit réduire la limite de version d’une bibliothèque de documents à une valeur inférieure telle que « 1 », puis chiffrer chaque fichier deux fois. « Maintenant, toutes les versions originales (pré-attaquantes) des fichiers sont perdues, ne laissant que les versions cryptées de chaque fichier dans le compte cloud », ont expliqué les chercheurs. « A ce stade, l’attaquant peut demander une rançon à l’organisation. » Microsoft, en réponse aux conclusions, a souligné que les anciennes versions de fichiers peuvent être potentiellement récupérées et restaurées pendant 14 jours supplémentaires avec l’aide du support Microsoft, un processus que Proofpoint a jugé infructueux. Nous avons contacté le géant de la technologie pour obtenir de plus amples commentaires, et nous mettrons à jour l’histoire si nous avons des nouvelles. Pour atténuer ces attaques, il est recommandé d’appliquer une politique de mot de passe forte, d’imposer une authentification multifacteur (MFA), d’empêcher les téléchargements de données à grande échelle sur des appareils non gérés et de maintenir des sauvegardes externes périodiques des fichiers cloud contenant des données sensibles. « Les fichiers stockés dans un état hybride à la fois sur les points de terminaison et dans le cloud, par exemple via des dossiers de synchronisation dans le cloud, réduiront l’impact de ce nouveau risque, car l’attaquant n’aura pas accès aux fichiers locaux/de point de terminaison », ont déclaré les chercheurs. « Pour effectuer un flux de rançon complet, l’attaquant devra compromettre le point de terminaison et le compte cloud pour accéder au point de terminaison et aux fichiers stockés dans le cloud. »