Llegamos a ustedes gracias a:



Alertas de Seguridad

El ransomware podría dirigirse a los archivos de OneDrive y SharePoint

Abusando de las configuraciones de versiones

[17/06/2022] Los investigadores advierten que los documentos alojados en la nube podrían no estar fuera del alcance de los actores del ransomware y que, aunque son más difíciles de cifrar de forma permanente debido a las funciones de copia de seguridad automatizada del servicio en la nube, todavía hay formas de complicar la vida a las organizaciones.

Los investigadores de Proofpoint han ideado un escenario de ataque de prueba de concepto que consiste en abusar de la configuración del versionado de documentos en los servicios OneDrive y SharePoint Online de Microsoft que forman parte de las ofertas en la nube de Office 365 y Microsoft 365. Además, dado que estos servicios proporcionan acceso a la mayoría de sus funciones a través de APIs, los posibles ataques pueden automatizarse utilizando la interfaz de línea de comandos y los scripts de PowerShell.

Reducción del número de versiones de documentos

La cadena de ataque descrita por Proofpoint comienza con los hackers comprometiendo una o más cuentas de SharePoint Online o OneDrive. Esto puede hacerse de varias maneras, incluyendo el phishing, infectando la máquina del usuario con malware y luego secuestrando sus sesiones autenticadas, o engañando a los usuarios para que den a una aplicación de terceros acceso a su cuenta a través de OAuth.

Independientemente del método, esto daría a los atacantes acceso a todos los documentos propiedad del usuario comprometido. En SharePoint esto se llama biblioteca de documentos y es básicamente una lista que puede contener múltiples documentos y sus metadatos.

Una característica de los documentos, tanto en OneDrive como en SharePoint, es el versionado de los archivos, que es utilizado por la función de autoguardado cada vez que se realiza una edición. Por defecto, los documentos pueden tener hasta 500 versiones, pero este ajuste es configurable, por ejemplo, a una sola.

"Cada biblioteca de documentos en SharePoint Online y OneDrive tiene un ajuste configurable por el usuario para el número de versiones guardadas, que el propietario del sitio puede cambiar, independientemente de sus otros roles", explican los investigadores de Proofpoint. "No necesitan tener un rol de administrador o privilegios asociados. La configuración del versionado está en la configuración de la lista de cada biblioteca de documentos".

Esto abre dos métodos de ataque. Uno es que el atacante realice 501 ediciones y cifre el archivo después de cada cambio. De este modo, todas las 500 versiones anteriores almacenadas se sobrescribirán con versiones cifradas del documento. El problema de este método es que consume mucho tiempo y recursos, ya que la operación de cifrado debe repetirse muchas veces.

Una forma más rápida es modificar la configuración del versionado a 1 y luego hacer solo dos cambios y encriptar el archivo después de cada uno. Esto descartará todas las versiones guardadas anteriormente, al menos las que son directamente accesibles para el usuario o la organización a la que pertenece.

Limitaciones del ataque

Una limitación de este ataque son los documentos almacenados tanto en el endpoint del usuario como en la nube y sincronizados. Si el atacante no tiene acceso al endpoint también, el archivo podría ser restaurado desde la copia local del usuario.

Otra posible limitación es la recuperación a través del soporte de Microsoft. Según Proofpoint, la empresa se puso en contacto con Microsoft para informar de este escenario de abuso, y la empresa habría dicho que su personal de asistencia al cliente puede restaurar versiones de archivos que se remontan a 14 días atrás. Esto probablemente se basa en el sistema de copias de seguridad automatizadas del servicio, al que no pueden acceder directamente los usuarios ni las organizaciones. Sin embargo, los investigadores de Proofpoint afirman que han intentado restaurar versiones antiguas de documentos a través del servicio de asistencia de Microsoft y no han tenido éxito.

La compañía aconseja a las organizaciones que supervisen los cambios de configuración de los archivos en su cuenta de Office 365. Las modificaciones en la configuración de las versiones son inusuales y deben ser tratadas como un comportamiento sospechoso. Implementar políticas de contraseñas fuertes y autenticación multifactorial, revisar las aplicaciones de terceros con acceso OAuth a las cuentas y tener una política de copia de seguridad externa que cubra los archivos en la nube son también fuertes recomendaciones.