Proofpoint mengidentifikasi fungsionalitas Microsoft 365 yang membuka vektor serangan berbasis cloud baru

Mengapa itu penting: Firma keamanan siber Proofpoint baru-baru ini merilis temuan kerentanan terkait dengan dua aplikasi cloud perusahaan yang populer, SharePoint Online dan OneDrive. Temuan perusahaan menjelaskan bagaimana aktor jahat dapat memanfaatkan fungsionalitas dasar dalam aplikasi untuk mengenkripsi dan menyimpan file dan data pengguna untuk tebusan. Kerentanan ini memberi peretas jalan lain untuk menyerang data dan infrastruktur berbasis cloud.

Eksploitasi bergantung pada rantai serangan empat langkah yang dimulai dengan identitas pengguna tertentu yang dikompromikan. Pelaku jahat menggunakan kredensial individu untuk mengakses akun SharePoint atau OneDrive pengguna, mengubah pengaturan pembuatan versi, lalu mengenkripsi file beberapa kali, tanpa meninggalkan versi file yang disusupi yang tidak dienkripsi. Setelah dienkripsi, file hanya dapat diakses menggunakan kunci dekripsi yang tepat.

Akun pengguna dapat disusupi oleh serangan brute force atau phishing, otorisasi yang tidak tepat melalui aplikasi OAuth pihak ketiga, atau sesi pengguna yang dibajak. Setelah dikompromikan, tindakan apa pun untuk mengeksploitasi kerentanan dapat dibuat skrip untuk dijalankan secara otomatis melalui antarmuka program aplikasi (API), Windows PowerShell, atau melalui antarmuka baris perintah (CLI).

Pembuatan versi adalah fungsi di SharePoint dan OneDrive yang membuat catatan historis untuk setiap file, mencatat perubahan dokumen apa pun dan pengguna yang membuat perubahan tersebut. Pengguna dengan izin yang sesuai kemudian dapat melihat, menghapus, atau bahkan memulihkan versi dokumen yang lebih lama. Jumlah versi yang disimpan ditentukan oleh pengaturan versi dalam aplikasi. Pengaturan versi tidak memerlukan izin tingkat administrator dan dapat diakses oleh pemilik situs atau pengguna mana pun dengan izin yang sesuai.

Mengubah jumlah versi dokumen yang dipertahankan adalah kunci dari eksploitasi ini. Aktor jahat mengonfigurasi pengaturan versi untuk mempertahankan jumlah versi yang diinginkan per file. File-file tersebut kemudian dienkripsi lebih banyak daripada jumlah versi yang dipertahankan, tanpa meninggalkan versi cadangan yang dapat dipulihkan.

Misalnya, menyetel pembuatan versi dokumen ke satu dan kemudian mengenkripsi file dua kali akan menghasilkan salinan master dan satu versi yang dipertahankan keduanya dienkripsi. Pada titik ini, file yang ditebus harus didekripsi menggunakan kunci dekripsi yang sesuai atau tetap tidak dapat dipulihkan.

Enkripsi bukan satu-satunya cara pengaturan versi dapat dieksploitasi. Peretas dapat memilih untuk menyimpan salinan dokumen asli dan kemudian melanjutkan untuk membuat sejumlah perubahan pada dokumen yang melebihi jumlah versi yang disimpan. Misalnya, jika pembuatan versi diatur untuk mempertahankan 200 salinan terakhir, aktor dapat membuat 201 perubahan. Ini akan memastikan bahwa salinan master di SharePoint atau OneDrive dan semua cadangan yang disimpan telah diubah saat menyimpan salinan asli untuk tebusan.

Blog Proofpoint memberikan beberapa rekomendasi untuk membantu melindungi Anda dan organisasi Anda dari jenis serangan ini. Rekomendasi ini, beberapa di antaranya mengandalkan rangkaian produk keamanan siber Proofpoint, berfokus pada deteksi dini konfigurasi dan perilaku berisiko tinggi, manajemen akses yang ditingkatkan, dan memastikan kebijakan pencadangan dan pemulihan yang memadai diterapkan.

Kredit gambar: Proses serangan Ransomware dari Proofpoint