¡Descubierto fallo en Office 365 potencialmente peligroso!

La firma de seguridad Proofpoint ha descubierto una "funcionalidad potencialmente peligrosa" en Microsoft Office 365 que permite que el ransomware encripte archivos almacenados en SharePoint y OneDrive de una manera que los vuelve irrecuperables sin copias de seguridad dedicadas o una clave de descifrado del atacante.

Los ataques de ransomware suelen dirigirse tradicionalmente a los datos en los dispositivos finales o las unidades de red.

Índice de Contenido
  1. ¿Cómo funciona el ataque?
  2. Los atacantes pueden modificar la configuración de listas en contenedores dentro de SharePoint y OneDrive
  3. Mecanismo de versionado de la biblioteca de documentos
  4. Los caminos de ataque más comunes
  5. Cómo asegurar Office 365

¿Cómo funciona el ataque?

SharePoint y OneDrive son dos de las aplicaciones en la nube empresarial más populares. Una vez ejecutado, el ataque encripta los archivos en las cuentas de los usuarios comprometidos. Al igual que cualquier actividad de ransomware en dispositivos finales, estos archivos solo se pueden recuperar mediante claves de descifrado.

Estas acciones se pueden automatizar utilizando las API de Microsoft, scripts de interfaz de línea de comandos (CLI) y scripts de PowerShell, según indicó Proofpoint.

  1. Acceso inicial: Obtener acceso a una o más cuentas de SharePoint Online o OneDrive comprometiendo o secuestrando las identidades de los usuarios.
  2. Apoderamiento de cuentas y descubrimiento: El atacante ahora tiene acceso a cualquier archivo propiedad del usuario comprometido o controlado por la aplicación de OAuth de terceros (que incluiría la cuenta de OneDrive del usuario también).
  3. Recopilación y extracción: Reducir el límite de versiones de archivos a un número bajo, como 1, para facilitar el proceso. Encriptar el archivo más veces de lo permitido por el límite de versiones, en este caso dos veces. Este paso es único del ransomware en la nube en comparación con la cadena de ataque del ransomware basado en dispositivos finales. En algunos casos, el atacante puede extraer los archivos sin encriptar como parte de una táctica de doble extorsión.
  4. Monetización: Ahora todas las versiones originales (antes del ataque) de los archivos se han perdido, dejando solo las versiones encriptadas de cada archivo en la cuenta de la nube. En este punto, el atacante puede exigir un rescate a la organización.

Los atacantes pueden modificar la configuración de listas en contenedores dentro de SharePoint y OneDrive

Una lista es una parte web de Microsoft que almacena contenido como tareas, calendarios, problemas, fotos, archivos, etc. dentro de SharePoint Online. Las cuentas de OneDrive se utilizan principalmente para almacenar documentos. Proofpoint señaló que la biblioteca de documentos es el término más asociado con OneDrive.

Una biblioteca de documentos es un tipo especial de lista en un sitio de SharePoint o una cuenta de OneDrive donde se pueden cargar, crear, actualizar y colaborar en documentos con miembros del equipo.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

La configuración de versiones para listas y bibliotecas de documentos se encuentra en la configuración de la lista. En la cadena de ataque del ransomware en la nube descrita anteriormente, sería durante el paso de recopilación y extracción que el atacante modificaría la configuración de la lista. Esto afectaría a todos los archivos contenidos en esa biblioteca de documentos, según indicó Proofpoint.

Mecanismo de versionado de la biblioteca de documentos

Cada biblioteca de documentos en SharePoint Online y OneDrive tiene una configuración adaptable por el usuario para el número de versiones guardadas, que el propietario del sitio puede cambiar independientemente de sus otros roles. No es necesario tener un rol de administrador o privilegios asociados. Esto se encuentra en la configuración de versiones dentro de la configuración de la lista para cada biblioteca de documentos.

"Por diseño, cuando se reduce el límite de versiones de la biblioteca de documentos, cualquier cambio adicional en los archivos de la biblioteca de documentos se volverá muy difícil de restaurar", dijo la compañía.

"Hay dos formas de abusar del mecanismo de versionado para lograr objetivos maliciosos: creando demasiadas versiones de un archivo o reduciendo los límites de versión de una biblioteca de documentos".

Los caminos de ataque más comunes

Proofpoint dijo que los tres caminos más comunes que los atacantes tomarían para acceder a una o más cuentas de SharePoint Online o OneDrive son:

  1. Compromiso de cuenta: Comprometer directamente las credenciales de los usuarios de sus cuentas en la nube mediante phishing, ataques de fuerza bruta y otras tácticas de compromiso de credenciales
  2. Aplicaciones de OAuth de terceros: Engañar a un usuario para que autorice aplicaciones de OAuth de terceros con alcances de aplicaciones para acceder a SharePoint u OneDrive
  3. Sesiones secuestradas: secuestrar la sesión web de un usuario que ha iniciado sesión o secuestrar un token de API en vivo para SharePoint Online y / o OneDrive.

Cómo asegurar Office 365

Proofpoint recomienda a los usuarios seguir una serie de pasos para proteger sus cuentas de Office 365. Estos incluyen mejorar la higiene de seguridad en relación al ransomware y actualizar las políticas de recuperación de desastres y copia de seguridad de datos para reducir las pérdidas en caso de descubrirse ransomware.

Cómo proteger tu computadora de los virus: métodos y consejos

"Idealmente, realice copias de seguridad externas completas de los archivos en la nube con datos sensibles de forma regular", indicó la compañía. "No confíe únicamente en que Microsoft proporcione copias de seguridad mediante la versión de bibliotecas de documentos".

Si se activan detectores de cambios de configuraciones riesgosas:

  • Aumente las versiones restaurables de las bibliotecas de documentos afectadas en la configuración de Microsoft 365 u Office 365 de inmediato.
  • Identifique si ha habido alguna alerta previa de compromiso de cuenta o cambio de configuración riesgosa para esta cuenta de Office 365.
  • Rastree la actividad sospechosa de aplicaciones de terceros. Si encuentra alguna, anule los tokens de OAuth de aplicaciones no autorizadas o no utilizadas en el entorno.
  • Identifique si el usuario ha mostrado comportamientos previos que no cumplen con las políticas en la nube, el correo electrónico, la web y los dispositivos finales (negligencia con datos sensibles, manipulación de datos riesgosos y acciones de aplicaciones de OAuth riesgosas).

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a ¡Descubierto fallo en Office 365 potencialmente peligroso! , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.