Se você acredita que enviando seus arquivos para a nuvem está livrando eles de um ataque de ransomware, talvez precise repensar sobre isso. Os pesquisadores alertam que os documentos hospedados na nuvem podem não estar fora do alcance dos agentes de ransomware e que, embora sejam mais difíceis de criptografar permanentemente devido aos recursos de backup automatizados do serviço em nuvem, ainda existem maneiras de dificultar a vida das organizações. Um ataque de ransomware pode tornar inacessíveis arquivos do OneDrive e do SharePoint.
Ransomware e os ataques ao OneDrive e SharePoint
Pesquisadores da Proofpoint criaram um cenário de ataque de prova de conceito que envolve o abuso das configurações de versão de documentos nos serviços OneDrive e SharePoint Online da Microsoft que fazem parte das ofertas de nuvem do Office 365 e Microsoft 365.
Além disso, como esses serviços fornecem acesso à maioria de seus recursos por meio de APIs, possíveis ataques podem ser automatizados usando interface de linha de comando e scripts do PowerShell.
Número de versões de documentos
A cadeia de ataque descrita pela Proofpoint começa com hackers comprometendo uma ou mais contas do SharePoint Online ou OneDrive. Isso pode ser feito de várias maneiras, incluindo phishing, infectando a máquina do usuário com malware e, em seguida, sequestrando suas sessões autenticadas ou enganando os usuários para que forneçam a um aplicativo de terceiros acesso à sua conta via OAuth.
Assim, os invasores teriam acesso a todos os documentos de propriedade do usuário comprometido. No SharePoint, isso é chamado de biblioteca de documentos e é basicamente uma lista que pode conter vários documentos e seus metadados.
Um recurso dos documentos no OneDrive e no SharePoint é o controle de versão de arquivo, que é usado pela função de salvamento automático sempre que uma edição é feita. Por padrão, os documentos podem ter até 500 versões, mas essa configuração é configurável, por exemplo, para apenas uma.
Isso abre dois métodos de ataques. Uma é para o invasor realizar 501 edições e criptografar o arquivo após cada alteração. Dessa forma, todas as 500 versões armazenadas anteriores serão substituídas por versões criptografadas do documento. O problema com essa abordagem é que ela consome tempo e consome muitos recursos, pois a operação de criptografia precisa ser repetida muitas vezes.
Uma maneira mais rápida é modificar a configuração de versão para 1 e, em seguida, fazer apenas duas alterações e criptografar o arquivo após cada uma. Isso descartará todas as versões salvas anteriormente, pelo menos aquelas diretamente acessíveis pelo usuário ou pela organização da qual ele faz parte.
Limitações do ataque
Uma limitação desse ataque são os documentos armazenados no endpoint do usuário e na nuvem e sincronizados. Se o invasor também não tiver acesso ao endpoint, o arquivo poderá ser restaurado da cópia local do usuário.
Outra limitação potencial é a recuperação por meio do Suporte da Microsoft. De acordo com a Proofpoint, a empresa entrou em contato com a Microsoft para relatar esse cenário de abuso e a empresa disse que sua equipe de suporte ao cliente pode restaurar versões de arquivos anteriores a 14 dias. No entanto, os pesquisadores da Proofpoint afirmam que tentaram restaurar versões antigas de documentos por meio do Suporte da Microsoft e não foram bem-sucedidos.
A empresa aconselha as organizações a monitorar as alterações de configuração de arquivos em sua conta do Office 365. Modificações nas configurações de versão são incomuns e devem ser tratadas como comportamento suspeito.
Implementar políticas de senha forte e autenticação multifator, revisar aplicativos de terceiros com acesso OAuth a contas e ter uma política de backup externa que abranja arquivos na nuvem também são fortes recomendações.
