Saldırganların SharePoint ve OneDrive'da Depolanan Dosyaları Şifrelemesine İzin Veren Microsoft Office 365 İşlevselliği

Proofpoint'teki siber güvenlik analistleri Microsoft 365 paketindeki bir özellikten yararlanarak SharePoint ve OneDrive'daki dosyaları şifrelemenin bir yolu olabileceğini keşfetti.

Sonuç olarak, işletmeler kendilerini fidye yazılımı gibi siber saldırılara açık bırakabilir. Saldırganlar, uç nokta saldırıları sırasında başarılı olamadıktan sonra dikkatlerini uç noktalardan ve ağ sürücülerinden uzaklaştırmak için sabit disk kampanyalarını bu yeni hedef üzerine inşa edecekler.

Bu yeni hedef nedeniyle, bulut altyapısıyla başa çıkmakta daha az zorlanabilirler. İşte Proofpoint'teki siber güvenlik uzmanlarının söyledikleri:

"Şimdiye kadar, BT ve güvenlik ekipleri bulut sürücülerinin fidye yazılımı saldırılarına karşı daha dayanıklı olacağını düşünüyordu. Sonuçta, şimdi tanıdık olan "Otomatik Kaydet" özelliği, sürüm oluşturma ve dosyalar için eski iyi geri dönüşüm kutusu yedekleme olarak yeterli olmalıydı. Ancak, bu daha uzun süre böyle olmayabilir."

Saldırı Zinciri

Bu saldırının başarılı olması için, güvenliği ihlal edilmiş kullanıcının hesaplarının gerçekleştirildiği anda şifrelenmesi gerekir. Bir uç nokta fidye yazılımı saldırısı sırasında olduğu gibi, bu dosyaları kurtarmak için şifre çözme anahtarları gerekir.

Ayrıca, Microsoft API, CLI betikleri ve PowerShell betikleri kullanılarak aşağıda özetlenen eylemler otomatikleştirilebilir:

• İlk Erişim: İlgili SharePoint Online veya OneDrive hesaplarına erişmek için bir veya daha fazla kullanıcının kimliğini tehlikeye atın veya ele geçirin.
• Hesap Ele Geçirme ve Bulma: Bunu yaptığınızda, güvenliği ihlal edilmiş kullanıcının veya OAuth erişimine sahip üçüncü taraf uygulamanın sahip olduğu veya kontrol ettiği tüm dosyalara saldırgan erişebilir.
• Toplama ve Sızma: İşleri basit tutmak için, dosyaların sahip olabileceği 1 gibi sürümlerin sayısını azaltmaya izin verir. Bunu yaparak, dosyanın güncellenme sayısından daha fazla şifrelenmesini sağlar.
• Para kazanma: Bulut hesabında, kalan tek sürüm dosyaların şifrelenmiş sürümleridir ve tüm orijinal sürümler silinir. Bu noktada saldırgan tarafından şirkete bir fidye notu verilecektir.

Microsoft Tarafından Gönderilen Yanıt

Proofpoint, sürüm numaralandırma ayarı özelliğinin kötüye kullanılmasından endişe duyduğunu Microsoft'a zaten bildirmiştir. Ancak Microsoft, sürüm numaralandırma ayarlarını yapılandırma yeteneğinin kullanılmasının amaçlandığını iddia eder.

Bu sorun, dosyaların bazı eski sürümlerinin kurtarılabileceğini iddia ederek Microsoft tarafından vurgulanmamış olsa da. Microsoft Desteği'nin yardımıyla, dosyaları 14 güne kadar daha geri yükleyebilirsiniz.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.