Uma “funcionalidade perigosa” foi descoberta no pacote Microsoft 365 que pode ser potencialmente usada por hackers para atacar à infraestrutura de nuvem e arquivos de resgate armazenados no SharePoint e no OneDrive.

 

O ataque de ransomware na nuvem possibilita o lançamento de malware de criptografia de arquivos para “criptografar arquivos armazenados no SharePoint e no OneDrive de uma maneira que os torna irrecuperáveis sem backups dedicados ou uma chave de descriptografia do invasor”, disse a Proofpoint em um relatório publicado recentemente.

 

A sequência de infecção pode ser realizada usando uma combinação de APIs da Microsoft, scripts de interface de linha de comando (CLI) e scripts do PowerShell, acrescentou a empresa de segurança corporativa.

 

O ataque, em sua essência, depende de um recurso do Microsoft 365 chamado AutoSave, que cria cópias de versões de arquivos mais antigas à medida que os usuários fazem edições em um arquivo armazenado no OneDrive ou no SharePoint Online.

 

Começa com o acesso não autorizado à conta do SharePoint Online ou OneDrive de um usuário de destino, seguido pelo abuso do acesso para exfiltrar e criptografar arquivos. Os três caminhos mais comuns para obter o ponto de apoio inicial envolvem violar diretamente a conta por meio de ataques de phishing ou força bruta, enganar um usuário para autorizar um aplicativo OAuth de terceiros não autorizado ou assumir a sessão da Web de um usuário conectado.

 

Mas onde esse ataque se destaca da atividade tradicional de ransomware de endpoint é que a fase de criptografia requer o bloqueio de cada arquivo no SharePoint Online ou OneDrive mais do que o limite de versão permitido.

 

A Microsoft, em resposta às descobertas, apontou que as versões mais antigas dos arquivos podem ser potencialmente recuperadas e restauradas por mais 14 dias com a assistência do Suporte da Microsoft, um processo que a Proofpoint não teve sucesso.

O que deve fazer

Para mitigar esses ataques, é recomendável aplicar uma política de password forte, exigir autenticação multifator (MFA), impedir downloads de dados em grande escala para dispositivos não gerenciados e manter backups externos periódicos de arquivos na nuvem com dados confidenciais.

 

A gigante da tecnologia, por sua vez, chamou ainda mais a atenção para um recurso de detecção de ransomware do OneDrive que notifica os usuários do Microsoft 365 sobre um possível ataque e permite que as vítimas restaurem seus arquivos. A Microsoft também está a incentivar os clientes corporativos a usar o acesso condicional para bloquear ou limitar o acesso ao conteúdo do SharePoint e do OneDrive de dispositivos não gerenciados.

Partilhe este artigo