社区编辑申请
注册/登录
滥用微软Office 365某功能,威胁行为者对企业发动勒索攻击
安全
近期,网络安全公司Proofpoint的研究人员在一份报告中指出,勒索攻击的成功主因在于滥用“自动保存”功能,该功能会在用户进行编辑时创建旧文件版本的云备份。

安全研究人员警告称,威胁行为者可能会劫持Office 365账户,对存储在SharePoint和OneDrive服务中的文件进行加密,以获得赎金,很多企业正在使用SharePoint和OneDrive服务进行云协作、文档管理和存储,如果数据没有备份,那针对这些文件的勒索软件攻击可能会产生严重后果,导致所有者和工作组无法访问重要数据。

近期,网络安全公司Proofpoint的研究人员在一份报告中指出,勒索攻击的成功主因在于滥用“自动保存”功能,该功能会在用户进行编辑时创建旧文件版本的云备份。威胁行为者要加密SharePoint和OneDrive文件的前提条件是破坏Office 365 帐户,这很容易通过网络钓鱼或恶意OAuth应用程序完成。劫持帐户后,攻击者可以使用Microsoft API和PowerShell脚本自动对大型文档列表执行恶意操作。要更快地完成文件锁定并使恢复变得更困难,威胁行为者会通过减少版本编号限制并加密所有超过该限制的文件。此任务不需要管理权限,可以从任何被劫持的帐户完成。研究人员举例说,对手可以将文件版本数减少到“1”,并对数据进行两次加密。由于文件版本限制设置为“1”,当攻击者对文件进行两次加密或编辑时,原始文档将无法通过OneDrive获得,也无法恢复。

另一种方法是使用自动脚本编辑文件501次,这超过了OneDrive存储文件版本的最大500次限制。虽然这种方法更张扬,可能会触发一些警报,但它仍然是一种有效的方法。文档加密完成后,攻击者就可以向受害者索取赎金,以换取解锁文件。在加密之前先窃取原始文件,从而在泄露数据的威胁下给受害者更大的压力,这也是可行的,而且可能被证明是有效的,特别是在有备份的情况下。

虽然Proofpoint提醒微软版本编号设置可能会被滥用,但微软坚称这种配置能力是其预期的功能。微软说,如发生类似上述攻击场景的意外数据丢失情况下,微软的support agent可以在事故发生14天后帮助恢复数据。但根据Proofpoint的报告,他们尝试使用support agent恢复文件,但失败了。

对于可能成为这些云攻击目标的企业,最佳安全实践包括:

  • 使用多因素身份验证
  • 保持定期备份
  • 寻找恶意OAuth应用程序并撤销令牌,以及在事件响应列表中添加“立即增加可恢复版本”。

参考来源:https://www.bleepingcomputer.com/news/security/microsoft-office-365-feature-can-help-cloud-ransomware-attacks/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-06-16 17:02:49

微软智能云混合云Azure

2022-06-23 09:49:16

火绒安全英特尔

2022-06-14 14:03:06

网络安全从业者网络安全赎金

2022-06-16 07:32:38

VSCodePython插件

2022-05-26 11:06:33

加密勒索软件网络攻击

2022-06-16 16:12:57

网络资产攻击面管理CAASM

2022-05-11 09:18:04

微软PowerShell降级

2022-06-22 10:23:42

互联网用户IE浏览器退休

2022-06-16 11:33:57

物联网区块链科技

2022-05-17 14:03:42

勒索软件远程工作

2022-05-16 07:35:21

Windows远程桌面远程服务器

2022-05-30 14:19:03

意大利网络安全黑客

2022-05-20 18:39:31

戴尔

2022-05-29 16:59:21

微软Edge浏览器

2022-06-09 06:57:53

Windows 10Windows 11微软

2022-06-15 17:55:43

IE浏览器Windows微软

2022-06-15 09:15:35

​CloudflarHTTPS DDoS攻击

2022-05-26 07:18:54

Windows 11RTM22H2

2022-05-10 06:01:17

Windows 11微软操作系统

2022-04-28 14:54:02

网络安全微软战争

同话题下的热门内容

无线网络安全的12个优秀实践如何避免严重网络安全事故的发生?Google发布《SOC建设指南》,对未来SOC提出新思考六个优秀漏洞管理工具以及它们如何帮助确定威胁的优先级如何做好统一身份认证账号管理及集成?摒弃传统的用户名和密码登录防不胜防?网络钓鱼攻击常用手法盘点与防护建议首席信息安全官仍然会犯的漏洞管理错误

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号