Resumen: Fue detectada una característica en la suite de Microsoft 365 que podría resultar atractiva para los ciberdelincuentes.
Hace algunas horas, los investigadores de Proofpoint, informaron sobre una característica en Microsoft 365, cuya explotación le permitiría a los actores de la amenaza cifrar todo tipo de archivos almacenados en SharePoint y OneDrive.
Según informan los investigadores, los atacantes podrían aprovechar Microsoft 365 combinando una serie de APIs de Microsoft, scripts de interfaz de línea de comandos (CLI) y scripts de PowerShell, junto con la siguiente cadena de ataque:
Acceso inicial Los actores de la amenaza obtienen acceso a las cuentas de SharePoint Online y OneDrive de uno o más usuarios, secuestrando sus identidades.
Toma de posesión de la cuenta Una vez penetrando, el atacante adquiere acceso a cualquier archivo de sus víctimas. También adquiere el completo control de la aplicación OAuth. Recopilación y Exfiltración Más adelante, el atacante procede a cifrar el archivo más allá del límite. En algunos casos, los atacantes pueden exfiltrar los archivos no cifrados como parte de una táctica conocida como “doble extorsión”.
Monetización En esta etapa todas las versiones de los archivos originales se pierden para dejar únicamente las versiones cifradas. De aquí en adelante, el atacante pedirá un rescate a cambio de descifrar los archivos de sus víctimas. El ataque se lleva a cabo mediante el abuso de la función “AutoSave”, una herramienta en Microsoft 365, cuyo propósito es crear copias de seguridad en la nube de versiones de archivos antiguos, al momento en que los usuarios editan uno de sus archivos almacenados en OneDrive o en SharePoint Online.
Cabe mencionar que, cada biblioteca de archivos en estas aplicaciones, se distingue con un conjunto de atributos que incluyen, el número de versiones guardadas que pueden ser modificadas por el propietario del sitio.
Es decir que, si se reduce el límite de las versiones almacenadas en la biblioteca de archivos, cualquier cambio o modificación posterior de los mismos solo hará que las versiones anteriores sean más difíciles de recuperar.
Por lo tanto, si un atacante abusa de este mecanismo, ya sea reduciendo los límites o creando un exceso de versiones de un archivo, podría potencialmente llevar a cabo un ataque ransomware en la red de sus víctimas.
Dicho esto, se le insta a todos los administradores a mantener las mejores prácticas de ciberseguridad.
En cuánto se tengan nuevas actualizaciones sobre el error en Microsoft 365, se lo informaremos de inmediato.
Recomendaciones: Medidas para prevenir un ataque ransomware Hacer copias de seguridad Mantener el software parcheado y actualizado Evitar darle click a correos electrónicos sospechosos Si desea conocer más información al respecto, puede visitar el aviso de seguridad de Trend Micro.
Referencias: https://securityaffairs.co/wordpress/132353/hacking/microsoft-365-feature-ransomware.html |
SÍGUENOS