In der Microsoft 365 Suite wurde eine „gefährliche Funktion“ entdeckt, die von böswilligen Akteuren missbraucht werden könnte, um auf SharePoint und OneDrive gespeicherte Dateien zu erpressen und Angriffe auf die Cloud-Infrastruktur zu starten.
Der Cloud-Ransomware-Angriff ermöglicht es, dateiverschlüsselnde Malware zu starten, um „Dateien, die auf SharePoint und OneDrive gespeichert sind, so zu verschlüsseln, dass sie ohne spezielle Backups oder einen Entschlüsselungsschlüssel des Angreifers nicht wiederherstellbar sind“, so Proofpoint in einem heute veröffentlichten Bericht.
Die Infektionssequenz kann mit einer Kombination aus Microsoft-APIs, Befehlszeilenskripten (CLI) und PowerShell-Skripten durchgeführt werden, fügte die Sicherheitsfirma für Unternehmen hinzu.
Der Angriff basiert auf einer Funktion von Microsoft 365 namens AutoSave, die Kopien älterer Dateiversionen erstellt, wenn Nutzer/innen eine Datei auf OneDrive oder SharePoint Online bearbeiten.
Es beginnt damit, dass man sich unbefugt Zugang zum SharePoint Online- oder OneDrive-Konto eines Zielnutzers verschafft und diesen Zugang dann missbraucht, um Dateien zu exfiltrieren und zu verschlüsseln. Die drei gängigsten Methoden, um Fuß zu fassen, sind das direkte Eindringen in das Konto über Phishing- oder Brute-Force-Angriffe, das Ausnutzen einer betrügerischen OAuth-Anwendung eines Drittanbieters oder die Übernahme der Websitzung eines angemeldeten Benutzers.
Dieser Angriff unterscheidet sich jedoch von herkömmlicher Ransomware für Endgeräte dadurch, dass in der Verschlüsselungsphase jede Datei auf SharePoint Online oder OneDrive über die zulässige Versionsgrenze hinaus gesperrt werden muss.
Microsoft beschreibt das Versionierungsverhalten in seiner Dokumentation wie folgt
Einige Organisationen erlauben unbegrenzte Versionen von Dateien, andere legen Beschränkungen fest. Du könntest nach dem Einchecken der neuesten Version einer Datei feststellen, dass eine alte Version fehlt. Wenn deine letzte Version 101.0 ist und du feststellst, dass es keine Version 1.0 mehr gibt, bedeutet das, dass der Administrator die Bibliothek so konfiguriert hat, dass nur 100 Hauptversionen einer Datei erlaubt sind. Das Hinzufügen der 101. Version führt dazu, dass die erste Version gelöscht wird. Es bleiben nur die Versionen 2.0 bis 101.0 übrig. Wenn eine 102. Version hinzugefügt wird, bleiben nur die Versionen 3.0 bis 102.0 übrig.
Indem er den Zugriff auf das Konto ausnutzt, kann ein Angreifer entweder zu viele Versionen einer Datei erstellen oder alternativ die Versionsgrenze einer Dokumentenbibliothek auf eine niedrige Zahl wie „1“ reduzieren und dann jede Datei zweimal verschlüsseln.
„Jetzt sind alle ursprünglichen (vor dem Angreifer) Versionen der Dateien verloren und es verbleiben nur noch die verschlüsselten Versionen der einzelnen Dateien im Cloud-Konto“, erklären die Forscher. „An diesem Punkt kann der Angreifer ein Lösegeld von der Organisation verlangen.
Microsoft wies in seiner Antwort auf die Ergebnisse darauf hin, dass ältere Dateiversionen mit Hilfe des Microsoft-Supports möglicherweise wiederhergestellt und für weitere 14 Tage wiederhergestellt werden können, was Proofpoint jedoch nicht gelang.
Ein Microsoft-Sprecher erklärte gegenüber The Hacker News: „Diese Technik setzt voraus, dass ein Benutzer bereits vollständig von einem Angreifer kompromittiert wurde. Wir ermutigen unsere Kunden, sichere Computergewohnheiten zu praktizieren und vorsichtig zu sein, wenn sie auf Links zu Webseiten klicken, unbekannte Dateianhänge öffnen oder Dateiübertragungen akzeptieren.“
Um solche Angriffe abzuschwächen, empfiehlt es sich, strenge Passwortrichtlinien durchzusetzen, eine Multi-Faktor-Authentifizierung (MFA) vorzuschreiben, das Herunterladen großer Datenmengen auf nicht verwaltete Geräte zu verhindern und regelmäßig externe Backups von Cloud-Dateien mit sensiblen Daten zu erstellen.
Der Tech-Gigant wies außerdem auf eine Funktion zur Erkennung von Ransomware in OneDrive hin, die Microsoft 365-Nutzer/innen über einen potenziellen Angriff benachrichtigt und es den Opfern ermöglicht, ihre Dateien wiederherzustellen. Microsoft ermutigt Unternehmensnutzer/innen außerdem, den Zugriff auf SharePoint- und OneDrive-Inhalte von nicht verwalteten Geräten aus zu sperren oder einzuschränken.
„Dateien, die in einem hybriden Zustand sowohl auf dem Endpunkt als auch in der Cloud gespeichert sind, z. B. durch Cloud-Synchronisationsordner, verringern die Auswirkungen dieses neuen Risikos, da der Angreifer keinen Zugriff auf die lokalen/endpunktbezogenen Dateien hat“, so die Forscher. „Um einen vollständigen Lösegeldfluss durchzuführen, muss der Angreifer den Endpunkt und das Cloud-Konto kompromittieren, um auf die Endpunkt- und Cloud-gespeicherten Dateien zuzugreifen.