Posté le juin 17, 2022 à 8:15
DES HACKERS PEUVENT LANCER DES ATTAQUES PAR RANSOMWARE EN UTILISANT UNE FONCTIONNALITÉ DE MICROSOFT 365
Des hackers spécialisés dans les ransomwares pourraient exploiter une fonctionnalité de la suite Microsoft 365 pour prendre des fichiers en otage. Cette « fonctionnalité dangereuse » pourrait être utilisée par des acteurs malveillants pour demander une rançon pour des fichiers stockés sur OneDrive et SharePoint. La même fonctionnalité pourrait être utilisée pour lancer des attaques sur l’infrastructure du cloud.
Les hackers cherchent à prendre en otage les fichiers dans le cloud
Les hackers sont toujours à la recherche de nouveaux moyens d’exploiter les fonctionnalités en ligne pour accéder aux fichiers des utilisateurs et les utiliser pour lancer des attaques telles que les ransomwares. Selon un rapport récent de Proofpoint, l’attaque par ransomware dans le cloud permet d’utiliser des logiciels malveillants de cryptage de fichiers qui pourraient dévoiler un large éventail d’attaques malveillantes.
Le rapport publié le 16 juin indique que le logiciel malveillant peut « crypter les fichiers stockés sur SharePoint et OneDrive d’une manière qui les rend irrécupérables sans sauvegardes dédiées ou une clé de décryptage de l’attaquant. «
Selon l’entreprise, la séquence d’infection peut être menée par une combinaison de différentes fonctionnalités allant des scripts d’interface de ligne de commande (CLI), des API Microsoft et des scripts PowerShell.
L’attaque tourne principalement autour d’une fonctionnalité de Microsoft 365 connue sous le nom d’AutoSave. Cette fonctionnalité libère des copies des anciennes versions de fichiers chaque fois que l’utilisateur modifie les fichiers stockés sur SharePoint Online ou OneDrive.
Les attaquants commencent l’exploitation en obtenant un accès non autorisé au compte SharePoint Online ou OneDrive de l’utilisateur. Les attaquants exploitent ensuite l’accès pour exfiltrer et exploiter les fichiers consultés.
Les attaquants accèdent à ces fichiers d’utilisateurs au moyen de trois méthodes principales. Il s’agit d’une violation directe du compte de l’utilisateur par des attaques par force brute ou par hameçonnage, de l’infiltration de la session web d’un utilisateur qui s’est déjà connecté à la plateforme, ou de la manipulation d’un utilisateur pour qu’il autorise une application OAuth tierce malveillante.
Cependant, ces attaques sont également différentes des autres activités traditionnelles des ransomwares. La phase de cryptage consiste à prendre en otage chaque fichier sur SharePoint Online ou OneDrive. Cela se produit davantage par rapport à la limite de versionnement autorisée.
Microsoft a noté que « certaines organisations autorisent des versions illimitées de fichiers et d’autres appliquent des limitations. Vous pouvez découvrir, après avoir vérifié la dernière version d’un fichier, qu’il manque une ancienne version. Si la version la plus récente est 101.0 et que vous remarquez qu’il n’existe plus de version 1.0, cela signifie que l’administrateur a configuré la bibliothèque pour n’autoriser que 100 versions majeures d’un fichier. »
L’attaquant exploite l’accès au compte pour créer plusieurs versions du fichier ou pour réduire la limite de version de la bibliothèque de documents à un nombre inférieur comme 1 avant de chiffrer chaque fichier deux fois.
Les chercheurs ajoutent : « Maintenant, toutes les versions originales (antérieures à la venue de l’attaquant) des fichiers sont perdues, ne laissant que les versions cryptées de chaque fichier dans le compte cloud. À ce stade, l’attaquant peut demander une rançon à l’organisation. »
Microsoft répond à l’exploit
Microsoft a répondu au rapport sur cet exploit, en indiquant que le support Microsoft pouvait être mis à contribution pour récupérer et restaurer les anciennes versions des fichiers pendant 14 jours supplémentaires. Cependant, les chercheurs de Proofpoint ont déclaré que ce processus n’avait pas abouti.
« Cette technique nécessite qu’un utilisateur ait déjà été entièrement compromis par un attaquant. Nous encourageons nos clients à adopter des pratiques informatiques saines, notamment en faisant preuve de prudence lorsqu’ils cliquent sur des liens vers des pages Web, ouvrent des pièces jointes inconnues ou acceptent des transferts de fichiers », a déclaré un porte-parole de Microsoft.
Il est conseillé aux utilisateurs d’adopter des pratiques Internet sécurisantes pour s’assurer qu’ils ne sont pas victimes de ces attaques. Il s’agit notamment d’installer un mot de passe fort et d’adopter un processus d’authentification multifactorielle pour empêcher tout accès non autorisé à leurs comptes. Empêcher les téléchargements de données volumineuses sur des appareils non gérés et maintenir des sauvegardes périodiques des fichiers cloud contenant des informations sensibles permettra d’éviter que de telles attaques ne se reproduisent.
Microsoft a également invité ses utilisateurs à explorer la fonction de détection des ransomwares de OneDrive. Cette fonction avertit les utilisateurs de Microsoft 365 de toute attaque potentielle. Elle permet également aux victimes de restaurer les fichiers volés. Le géant de la technologie a également exhorté les entreprises à surveiller l’accès en bloquant et en limitant l’accès des utilisateurs aux contenus SharePoint et OneDrive sur des appareils non gérés.
Selon les chercheurs de Proofpoint, « les fichiers stockés dans un état hybride à la fois sur le point de terminaison et dans le cloud, par exemple via des dossiers de synchronisation dans le cloud, réduiront l’impact de ce nouveau risque car l’attaquant n’aura pas accès aux fichiers locaux/du point de terminaison. Pour effectuer un flux de rançon complet, l’attaquant devra compromettre le point de terminaison et le compte cloud pour accéder aux fichiers du point de terminaison et stockés dans le cloud. »
