Investigadores de seguridad de Proofpoint han analizado una “peligrosa pieza de funcionalidad” que podría permitir el acceso no autorizado a los archivos almacenados en SharePoint y OneDrive.
En concreto, el fallo permitiría al ransomware cifrar los archivos almacenados en las aplicaciones en la nube a través de la función de autoguardado de Microsoft 365 de forma que los hace irrecuperables sin copias de seguridad dedicadas o una clave de descifrado del atacante.
“Nuestra investigación se centró en dos de las aplicaciones empresariales en la nube más populares – SharePoint Online y OneDrive dentro de las suites de Microsoft 365 y Office 365 y muestra que los actores de ransomware ahora pueden apuntar a los datos de las organizaciones en la nube y lanzar ataques a la infraestructura de la nube”, escribió Proofpoint en un aviso.
En cuanto a cómo funcionaría el exploit, los investigadores de seguridad dijeron que el primer paso sería obtener acceso a las cuentas de SharePoint Online o OneDrive comprometiendo o secuestrando las identidades de los usuarios.
Según la compañía, las tres formas más comunes de obtener el punto de apoyo inicial implican la violación de la cuenta a través de ataques de fuerza bruta o phishing, engañando a un usuario para que autorice una aplicación OAuth de terceros o tomando la sesión web de un usuario conectado.
Después de eso, un atacante tendría acceso a cualquier archivo propiedad del usuario comprometido o controlado por la aplicación OAuth de terceros (incluyendo la cuenta de OneDrive del usuario), por lo que podría avanzar para cifrarlos.
Para hacerlo con éxito, Proofpoint dijo que los actores maliciosos reducirían el límite de versiones de los archivos a un número bajo (idealmente 1) y luego los cifrarían más veces que el límite de versiones (para que no se pueda acceder a las versiones anteriores sin cifrar).
Proofpoint también enumeró una serie de buenas prácticas destinadas a mitigar el impacto de estos intentos maliciosos.
Estas incluyen la aplicación de una política de contraseñas fuertes, el aumento del uso de la autenticación de múltiples factores (MFA) y el establecimiento de una política de acceso basada en principios y de mínimos privilegios en las aplicaciones en la nube.
Con información de Info Security Magazine.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian