Microsoft 365 : réduire le versioning pour attaquer avec un ransomware
Les chercheurs de Proofpoint alertent sur une fonctionnalité de Microsoft Office 365 qui pourrait être détournée afin de prendre en otage des données stockées dans OneDrive et SharePoint Online.
Une équipe de chercheurs de Proofpoint affirme avoir découvert une fonctionnalité standard potentiellement dangereuse dans Microsoft Office 365. Celle-ci pourrait permettre à un attaquant de chiffrer les fichiers stockés dans SharePoint et OneDrive, de telle sorte qu’ils deviennent totalement irrécupérables sans sauvegardes dédiées ou sans clé de déchiffrement. Un scénario supplémentaire pour les cyberattaques avec rançongiciel.
L’équipe – Or Safran, David Krispin, Assaf Friedman et Saikrishna Chavali – a voulu se pencher sur deux des applications cloud d’entreprise les plus utilisées au sein des suites Microsoft 365 et Office 365 pour montrer comment les opérateurs de ransomware pourraient viser les données stockées en mode cloud.
« Les attaques avec ransomware ont traditionnellement visé les données à travers les hôtes du réseau ou les lecteurs réseau », ont-ils rappelé. « Jusqu’à présent, les équipes informatiques et de sécurité pensaient que le stockage en cloud serait plus résistant aux attaques avec ransomware », notamment grâce aux capacités de versioning. Mais il y a une brèche dans laquelle pourraient s’engouffrer des attaquants.
La cinétique d’attaque est relativement simple. Tout d’abord, les attaquants doivent obtenir l’accès aux comptes SharePoint Online ou OneDrive d’un ou plusieurs utilisateurs en compromettant ou en détournant leur identité – ou en les trompant pour autoriser une application utilisant OAuth à accéder à leur compte. De là, ils ont accès à tout fichier appartenant à l’utilisateur.
L’étape suivante consiste à réduire le nombre de versions des fichiers conservées en historique à un nombre bas, avant de chiffrer le fichier plus de fois que ce nombre. Par exemple, en limitant à un le nombre de versions conservées d’un même fichier, l’attaquant n’aurait qu’à chiffrer deux fois un fichier pour rendre impossible la restauration à partir d’une version antérieure.
Ce chiffrement peut bien évidemment être engagé après exfiltration de données, comme cela est observé dans le cadre des attaques en double extorsion, afin de pouvoir menacer de divulguer lesdites données.
Ce scénario d’attaque est rendu possible par une fonctionnalité spécifique à OneDrive et SharePoint Online : l’utilisateur final peut changer les réglages de gestion des versions pour chaque bibliothèque de documents dont il est propriétaire. Et cela bien sûr pour les bibliothèques partagées au sein d’un groupe – ou une équipe dans Teams.
Les chercheurs de Proofpoint relèvent qu’une telle attaque peut être automatisée à l’aide d’API Microsoft, de scripts d’interface de ligne de commande (CLI) et de scripts PowerShell.
La bonne nouvelle est que le support de Microsoft est susceptible d’aider à récupérer les données chiffrées en remontant deux semaines en arrière. Le scénario d’attaque décrit par les équipes de Proofpoint n’en plaide toutefois pas moins pour la sauvegarde des environnements Microsoft et Office 365. Et celle-ci n’est pas nécessairement triviale sans solutions spécialisées.