idNSA.id - Peneliti dari Proofpoint melaporkan bahwa fitur di
suite Microsoft 365 dapat disalahgunakan untuk mengenkripsi file yang disimpan
di SharePoint dan OneDrive.
“Proofpoint telah menemukan bagian fungsionalitas yang
berpotensi berbahaya di Office 365 atau Microsoft 365 yang memungkinkan
ransomware mengenkripsi file yang disimpan di SharePoint dan OneDrive dengan
cara yang membuatnya tidak dapat dipulihkan tanpa cadangan khusus atau kunci
dekripsi dari penyerang.” membaca posting yang diterbitkan oleh Proofpoint.
Para peneliti merinci rantai serangan yang memungkinkan
enkripsi file di akun pengguna yang disusupi, sayangnya bagi para korban,
file-file ini hanya dapat diambil dengan membayar uang tebusan untuk menerima
kunci dekripsi.
Para peneliti menunjukkan bahwa tindakan yang menyusun rantai
serangan dapat diotomatisasi menggunakan Microsoft API, skrip command line
interface(CLI), dan skrip PowerShell. Di bawah ini adalah rantai serangan yang
dijelaskan oleh ProofPoint:
Pertama, Akses Awal:
Dapatkan akses ke satu atau beberapa akun SharePoint Online atau
OneDrive pengguna dengan mengkompromikan atau membajak identitas pengguna.
Kedua, Pengambilalihan & Penemuan Akun: Penyerang sekarang memiliki akses ke file apa
pun yang dimiliki oleh pengguna yang disusupi atau dikendalikan oleh aplikasi
OAuth pihak ketiga (yang juga akan menyertakan akun OneDrive pengguna).
Ketiga, Collection & Exfiltration: Kurangi batas versi file ke angka yang rendah
seperti 1, agar tetap mudah. Enkripsi file lebih banyak dari batas versi.
Dengan contoh batas 1, enkripsi file dua kali. Langkah ini unik untuk cloud
ransomware dibandingkan dengan rantai serangan untuk ransomware berbasis endpoint.
Dalam beberapa kasus, penyerang dapat mengekstrak file yang tidak terenkripsi
sebagai bagian dari taktik pemerasan ganda.
Keempat, Monetisasi: Sekarang semua file versi asli (pra-penyerang) hilang, hanya menyisakan versi terenkripsi dari setiap file di akun cloud. Pada titik ini, penyerang dapat meminta tebusan dari organisasi.
Urutan infeksi dapat dilakukan dengan menggunakan kombinasi
Microsoft API, skrip command line interface(CLI), dan skrip PowerShell,
perusahaan keamanan perusahaan menambahkan.
Periset di Proofpoint melaporkan bahwa serangan itu
menyalahgunakan fitur "Simpan Otomatis" yang membuat cadangan cloud
dari versi file yang lebih lama ketika pengguna mengedit file yang disimpan di
OneDrive atau SharePoint Online.
Setiap pustaka dokumen di SharePoint Online dan OneDrive
dicirikan dengan sekumpulan atribut, termasuk jumlah versi tersimpan yang bisa
diubah oleh pemilik situs yang bisa diubah, terlepas dari peran mereka yang
lain. Pengaturan pembuatan versi berada di bawah pengaturan daftar untuk setiap
pustaka dokumen.
“Secara desain, saat Anda mengurangi batas versi pustaka
dokumen, setiap perubahan lebih lanjut ke file di pustaka dokumen akan
mengakibatkan versi yang lebih lama menjadi sangat sulit untuk dipulihkan
(lihat pengungkapan dan diskusi yang bertanggung jawab). Ada dua cara untuk
menyalahgunakan mekanisme pembuatan versi untuk mencapai tujuan jahat – baik
dengan membuat terlalu banyak versi file atau dengan mengurangi batas versi
pustaka dokumen.” melanjutkan laporannya. “Suntingan yang meningkatkan versi
file termasuk perubahan pada konten dokumen, nama file, metadata file, dan
status enkripsi file.”
Penyerang dapat membuat terlalu banyak versi file atau mengurangi
batas versi pustaka dokumen ke yang lebih rendah seperti "1" dan
kemudian mengenkripsi setiap file lebih banyak dari batas versi.
Microsoft meremehkan masalah yang menyatakan bahwa versi file
yang lebih lama dapat berpotensi dipulihkan dan dipulihkan selama 14 hari
tambahan dengan bantuan Dukungan Microsoft.
“Namun, Proofpoint berusaha untuk mengambil dan memulihkan
versi lama melalui proses ini (yaitu, dengan Dukungan Microsoft) dan tidak
berhasil. Kedua, bahkan jika alur kerja konfigurasi pengaturan versi sesuai
dengan yang diinginkan, Proofpoint telah menunjukkan bahwa itu dapat
disalahgunakan oleh penyerang untuk tujuan ransomware cloud.” kesimpulan
laporan.
