威胁行为者可能会劫持Office365帐户并加密存储在SharePoint和OneDrive服务中的文件以索取赎金,安全研究人员警告说,许多企业正在使用SharePoint和OneDrive服务进行云协作、文档管理和存储。如果不备份数据,针对这些文件的勒索软件攻击可能会造成严重后果,使所有者和工作组无法访问重要数据。在最近的一份报告中,来自网络安全公司Proofpoint的研究人员指出,勒索软件攻击成功的主要原因是滥用了“自动保存”功能,该功能会在用户编辑文件时创建旧文件版本的云备份。威胁行为者加密SharePoint和OneDrive文件的先决条件是破坏Office365帐户,这很容易通过网络钓鱼或恶意OAuth应用程序实现。一旦帐户被劫持,攻击者可以使用MicrosoftAPI和PowerShell脚本自动对大型文档列表进行恶意操作。为了更快地完成文件锁定并使恢复变得更加困难,威胁行为者会降低版本号限制并对超过该限制的所有文件进行加密。此任务不需要管理权限,可以从任何被劫持的帐户完成。研究人员表示,例如,对手可以将文件版本号降低为“1”并对数据进行两次加密。由于文件版本限制设置为“1”,当攻击者对文件进行两次加密或编辑时,原始文档将无法通过OneDrive访问,也无法恢复。另一种方法是使用自动脚本编辑文件501次,这超过了OneDrive上存储文件版本的最大限制500次。虽然这种方法比较招摇,可能会引起一些警觉,但它仍然是一种有效的方法。一旦文档被加密,攻击者就可以向受害者索要赎金,以换取解锁文件。在加密之前窃取原始文件,从而给受害者带来更大的数据泄露威胁压力,也是可行的,并且可能被证明是有效的,尤其是在有备份的情况下。尽管Proofpoint警告Microsoft版本编号设置可能会被滥用,但Microsoft坚称此配置功能是预期的功能。微软表示,如果发生类似上述攻击场景的意外数据丢失,微软的支持代理可以在事故发生后14天帮助恢复数据。但根据Proofpoint的报告,他们试图使用支持代理恢复文件,但失败了。对于可能成为这些云攻击目标的企业,最佳安全实践包括使用多因素身份验证维护定期备份、寻找流氓OAuth应用程序和撤销令牌,以及将“立即添加可恢复版本”添加到事件响应列表中。参考来源:https://www.bleepingcomputer.com/news/security/microsoft-office-365-feature-can-help-cloud-ransomware-attacks/
