It-sikkerhedsefterforskere fra Proofpoint har opdaget, at hackere kan kapre Office 365-konti og kryptere cloud-filer i SharePoint og OneDrive, hvorefter der kan opkræves løsesum fra filernes oprindelige ejere.
Det skriver Bleepingcomputer.
Sikkerhedsbristen sker, da hackerne kan misbruge en fejl i autosave-funktionen, som automatisk laver cloud-backup af filerne, hver gang der foretages redigering.
For at komme igennem til SharePoint og OneNote-filerne skal hackerne kompromittere ofrets 365-konto, og det vil ofte ske ved phishing eller OAuth-apps.
Herefter vil angriberne bruge Microsoft API'er og PowerShell-scripts til automatisk at udføre ondsindede handlinger mod systemet.
For at låse filerne vil den angribende part ændre grænsen for versionsnummerering af dokumentet og låse filerne.
Med en filversionsgrænse på én og efterfølgende kryptering vil den originale fil ikke længere være tilgængelig og kan ikke gendannes, skriver mediet.
En anden metode er at bruge script til automatisk at redigere filer 501 gange, hvilket overskrider den maksimale grænse på 500 gange til lagringer af forskellige filversioner.
Konsekvenser og gode råd
Ved at stjæle det originale dokument inden kryptering kan angriberne nu afpresse offeret både med trusler om forevigt at have mistet dokumenterne eller med trusler om offentliggørelse af private dokumenter.
Følgende tiltag anbefales af Proofpoint:
- Multifaktorgodkendelse ved logins.
- Regelmæssige sikkerhedskopier og backup af vigtige filer.
- Hold vågent øje med potentielle ondsindede OAuth-apps og tokens, og vær på vagt overfor uautoriserede links og filer.
- Hold øje med grænsen for gendannelige versioner og hav den højt sat.