关键词
微软、漏洞
安全研究人员警告说,威胁者可能会将Office 365帐户移到 SharePoint 和 OneDrive 服务中加密公司文件。
如果备份无法提供,对这些服务上的文件进行黑客软件攻击可能产生严重的后果,使得所有者和工作组无法访问重要数据。
近期,网络安全公司Proofpoint的研究人员在一份报告中表示,抢劫案成功的主要原因是“自动储蓄”功能的滥用,当用户编辑时,该功能创建了旧文件版本的云备份。威胁者加密 SharePoint 和 OneDrive 文件的先决条件是打破 Office 365 帐户,这很容易通过在线捕鱼或恶意OAuth应用程序实现。劫持帐户后,攻击者可以使用Microsoft API和PowerShell脚本自动执行大量文件列表中的恶意操作。要使文件锁定更快,并使恢复更加困难,威胁者将减少版本代码限制,并加密超过这些限制的文件。这项任务不需要管理权限,它可以从任何被劫持的帐户完成。研究人员举例说,对手可以将文件版本降到1,然后数据被加密两次。因为文件版本限制为1,当攻击者两次加密或编辑文件时,原文文件不会通过 OneDrive,也无法恢复。
另一种方法是使用自动脚本编辑501次的文件,这超过了OneDrive存储文件版本的最大限度500次。虽然这种方法比较广泛,它可能引发一些警报,但它仍然是一个有效的方法。文档加密完成后,攻击者可以向受害者要求赎金,以换取解锁文件。首先在加密之前偷走原始文件,这使受数据泄露威胁的受害者受到更大的压力,这也是可行的,而且它可能证明是有效的,尤其是如果有一个备份。
虽然Proofpoint提醒您,微软版本代码设置可能被滥用,但微软坚持认为这种配置能力是其预期的功能。微软说,在类似的攻击场景中发生意外数据丢失时,微软的支援代理人可以在事故发生后14天内帮助恢复数据。但根据Proofpoint的报告,他们试图使用支持代理来恢复文件,但失败了。
可能成为这些云攻击的目标的企业的最佳安全做法包括:
使用多因素身份验证
保持定期备份
搜索恶意OAuth应用程序并取消许可证,并将“立即添加可恢复版本”添加到事件响应列表中。
END
阅读推荐
如果它看起来不错,你可以分享,如果它有用,就给它一个赞美
支持“安全循环”并设置三个字符串!