Des fichiers OneDrive et SharePoint vulnérables aux ransomwares
Selon une étude réalisée par la société de sécurité informatique Proofpoint, il est possible dorénavant de pouvoir cibler des fichiers SharePoint et OneDrive.
Ce qui est plus grave dans cette découverte c’est qu’il est possible de les utiliser dans le but de réaliser des attaques de type rançongiciels.
Selon les chercheurs en sécurité informatique de la société américaine, beaucoup de documents présents sur le cloud sont susceptibles d’être utilisés dans le but de la réalisation d’attaques de type ransomware. Si concrètement il est difficile pour des hackers de chiffrer les documents déjà présente sur des hébergeurs cloud et obliger les propriétaires à payer les rançons, en exploitant la fonctionnalité de sauvegarde automatisée proposée par les services cloud, il a tout de même possible de compliquer la tâche aux entreprises qui compte généralement sur ces données.
C’est dans ce contexte que les chercheurs en sécurité informatique de Proofpoint ont essayé d’établir un exploit qui permet d’exploiter de manière abusive certains paramètres de gestion de plusieurs types de documents présents à la fois dans les services SharePoint Online de Microsoft et OneDrive. Deux services qui font partie des offres cloud Office 365 et Microsoft 365 du géant américain.
« De plus, étant donné que ces derniers donnent accès à la plupart de leurs fonctionnalités via des API, les attaques potentielles peuvent être automatisées à l’aide de l’interface de ligne de commande et des scripts PowerShell. », explique Lucian Constantin de IDG NS.
Selon les explications des chercheurs de Proofpoint, tout commence à partir de la compromission des comptes SharePoint Online ou de OneDrive. Il est possible pour les hackers de procéder différemment en tenant compte de l’or possibilité. Il y a tout d’abord l’éventualité des compromissions à travers des techniques d’hameçonnage, en essayant d’exploiter un employé distrait infiltrant sa machine et l’infectant d’un programme malveillant.
Lorsque les pirates informatiques arrivent à détourner les sessions authentifiées ou en poussant les utilisateurs à donner les accès à travers des comptes officiels, ils peuvent immédiatement profiter de cette situation pour accéder au contenu des données et des documents qui appartiennent à l’utilisateur ciblé.
« Dans SharePoint, cela s’appelle une bibliothèque de documents, qui est essentiellement une liste pouvant contenir plusieurs documents et leurs métadonnées. L’une des fonctionnalités des documents dans OneDrive et SharePoint est la gestion des versions des fichiers, qui est utilisée par la fonction d’enregistrement automatique chaque fois qu’une modification est effectuée. Par défaut, les documents peuvent avoir jusqu’à 500 versions, mais ce paramètre est configurable, par exemple à une seule. », souligne Lucien Constantin.
Voici comment les chercheurs de la société de cyber sécurité les deux procédés que peuvent utiliser les hackers dans le but d’exploiter ces failles de sécurité
« Chaque bibliothèque de documents dans SharePoint Online et OneDrive dispose d’un paramètre configurable par l’utilisateur pour le nombre de versions enregistrées, que le propriétaire du site peut modifier, quels que soient ses autres rôles », soulignent les chercheurs de Proofpoint. « Ils n’ont pas besoin de détenir un rôle d’administrateur ou des privilèges associés. Les paramètres de gestion des versions se trouvent sous les paramètres de liste pour chaque bibliothèque de documents ».
– la première méthode consiste à réaliser 501 modifications et chiffrer le fichier après chaque modification. De cette manière les 500 versions qui ont été stockées précédemment vont être écrasées par les versions cryptées du document ciblé. Effectivement cette méthode prend beaucoup de temps et demande aussi énormément de ressources. Cependant la possibilité est réelle.
– Concernant la deuxième technique qui est beaucoup plus rapide, il suffirait pour les hackers d’effectuer seulement deux modifications et chiffres le fichier après chaque modification. Ces modifications vont écraser les précédentes mais se limitera seulement au fichier auquel l’utilisateur aura directement accès.
Évidemment l’attaque informatique dont il est question ici est limitée en termes de vecteur d’attaque. Elle n’est possible que lorsqu’il s’agit de documents qui sont à la fois stockés dans un terminal de réseau et dans le cloud auquel celui-ci est synchronisé. De plus, il existe une méthode de récupération depuis le support de Microsoft. Car selon le géant américain, il est possible de restaurer des fichiers qui remontent depuis 14 jours en prenant contact avec le service de support de géant américain.
Il est donc important pour les entreprises de surveiller leur modification de documents à travers le compte Office 365.
La société conseille aux organisations de surveiller les modifications de configuration des fichiers dans leur compte Office 365. Les modifications apportées aux paramètres de gestion des versions sont inhabituelles et doivent être traitées comme un comportement suspect. La mise en œuvre de politiques de mots de passe solides et d’une authentification multi facteur, l’examen des applications tierces avec un accès OAuth aux comptes et la mise en place d’une politique de sauvegarde externe qui couvre les fichiers cloud sont également de fortes recommandations.
Accédez maintenant à un nombre illimité de mot de passe :