攻击者可利用Office 365实施勒索活动

admin 2022年6月30日23:43:38安全新闻评论12 views1019字阅读3分23秒阅读模式

攻击者可利用Office 365实施勒索活动

研究人员发现微软Office 365功能可用于勒索保存在SharePoint和OneDrive上的文件。

攻击者可利用Office 365实施勒索活动 Office 365 Autosave

Autosave(自动保存)是Office 365的一个功能,允许用户在编辑OneDrive或SharePoint Online上保存的文件时,创建老文件版本的云备份。Proofpoint研究人员微软Office 365的自动备份功能可能被攻击者滥用,允许勒索软件对SharePoint和OneDrive上保存的文件进行加密,使得其无法从备份文件中恢复。攻击者可以对目标组织云上保存的数据和云基础设施发起攻击。

SharePoint和OneDrive每个文件库都有一系列的属性,包括站点所有者可以修改版本的版本数。版本设置由文件库来进行设置。

攻击者可利用Office 365实施勒索活动

图1 文件库的版本设置

从设计原理来讲,当减少文件库的版本限制后,对文件库中文件的变化会导致老版本难以恢复。目前有两种方式来滥用版本机制首先恶意目的:

  • 创建同一个文件的多个版本;使文件版本号增加的操作包括修改文件内容、文件名、文件元数据、文件加密状态。

  • 减少文件库的版本限制。攻击者可以将文件库的版本限制降低为1,然后对文件进行多次加密,加密次数不少于版本限制。

攻击者可利用Office 365实施勒索活动 云勒索软件攻击链

攻击执行后,首先加密被黑的用户账户中的文件。和普通的终端设备勒索软件类似,这些文件只有通过解密密钥才能够提取访问。

以下动作都可以通过微软API、命令行接口脚本和powershell脚本自动完成:

  • 初始访问:通过入侵或截止用户身份获得用户SharePoint online或OneDrive账户的访问权限;

  • 账户接管和发现:攻击者就有了被入侵的用户或被第三方oauth应用控制的文件的访问权限;

  • 收集和窃取:将文件的版本限制降低,比如,对文件进行多次加密,加密次数要大于版本的限制。攻击者也可能将未加密的文件发送给到其他位置,用于其他攻击。

  • 获利:此时,所有文件的原始版本都丢失了,云账户中只有每个文件的加密版本。此时,攻击者会要求企业支付赎金。

攻击者可利用Office 365实施勒索活动

图2 云勒索软件攻击链

参考及来源:https://www.proofpoint.com/us/blog/cloud-security/proofpoint-discovers-potentially-dangerous-microsoft-office-365-functionality

攻击者可利用Office 365实施勒索活动

攻击者可利用Office 365实施勒索活动


原文始发于微信公众号(嘶吼专业版):攻击者可利用Office 365实施勒索活动

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月30日23:43:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  攻击者可利用Office 365实施勒索活动 http://cn-sec.com/archives/1135008.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: