تم اكتشاف “وظيفة خطيرة” في مجموعة Microsoft 365 والتي من المحتمل أن يسيء فاعل ضار استخدامها لفدية الملفات المخزنة على SharePoint و OneDrive وشن هجمات على البنية التحتية السحابية.

قال موقع Proofpoint في تقرير نُشر اليوم إن هجوم برامج الفدية السحابية يجعل من الممكن إطلاق برامج ضارة لتشفير الملفات من أجل “تشفير الملفات المخزنة على SharePoint و OneDrive بطريقة تجعلها غير قابلة للاسترداد بدون نسخ احتياطية مخصصة أو مفتاح فك تشفير من المهاجم” .

وأضافت الشركة الأمنية أنه يمكن تنفيذ تسلسل الإصابة باستخدام مجموعة من واجهات برمجة تطبيقات Microsoft والبرامج النصية لواجهة سطر الأوامر (CLI) ونصوص PowerShell النصية.

يتوقف الهجوم ، في جوهره ، على ميزة Microsoft 365 تسمى AutoSave والتي تنشئ نسخًا من إصدارات الملفات القديمة عندما يقوم المستخدمون بإجراء تعديلات على ملف مخزن على OneDrive أو SharePoint Online.

يبدأ بالحصول على وصول غير مصرح به إلى حساب SharePoint Online أو OneDrive للمستخدم المستهدف ، متبوعًا بإساءة استخدام الوصول لاستخراج الملفات وتشفيرها. تتضمن الطرق الثلاثة الأكثر شيوعًا للحصول على موطئ قدم مبدئي اختراق الحساب مباشرة عن طريق التصيد الاحتيالي أو هجمات القوة الغاشمة ، أو خداع المستخدم لتفويض تطبيق OAuth التابع لجهة خارجية ، أو تولي جلسة الويب لمستخدم قام بتسجيل الدخول.

ولكن حيث يقف هذا الهجوم بعيدًا عن نشاط برامج الفدية لنقطة النهاية التقليدية هو أن مرحلة التشفير تتطلب تأمين كل ملف على SharePoint Online أو OneDrive أكثر من حد الإصدار المسموح به .

برامج الفدية

توضح Microsoft سلوك تعيين الإصدار في وثائقها على النحو التالي –

تسمح بعض المنظمات بإصدارات غير محدودة من الملفات ويطبق البعض الآخر قيودًا. قد تكتشف ، بعد التحقق من أحدث إصدار من الملف ، أن هناك إصدارًا قديمًا مفقودًا. إذا كان أحدث إصدار لديك هو 101.0 ولاحظت أنه لم يعد هناك إصدار 1.0 ، فهذا يعني أن المسؤول قام بتكوين المكتبة للسماح فقط بـ 100 إصدار رئيسي من الملف. تؤدي إضافة الإصدار 101 إلى حذف الإصدار الأول. تبقى الإصدارات 2.0 إلى 101.0 فقط. وبالمثل ، إذا تمت إضافة الإصدار رقم 102 ، فستبقى الإصدارات من 3.0 إلى 102.0 فقط.

من خلال الاستفادة من الوصول إلى الحساب ، يمكن للمهاجم إما إنشاء عدد كبير جدًا من إصدارات الملف أو بدلاً من ذلك تقليل حد إصدار مكتبة المستندات إلى مستوى أقل مثل “1” ثم متابعة تشفير كل ملف مرتين.

وأوضح الباحثون أنه “الآن يتم فقد جميع إصدارات الملفات الأصلية (ما قبل الهجوم) ، ولم يتبق سوى الإصدارات المشفرة من كل ملف في الحساب السحابي”. “في هذه المرحلة ، يمكن للمهاجم أن يطلب فدية من المنظمة.”

رداً على النتائج ، أشارت Microsoft ، رداً على النتائج ، إلى أنه من المحتمل استرداد الإصدارات القديمة من الملفات واستعادتها لمدة 14 يومًا إضافية بمساعدة دعم Microsoft ، وهي عملية وجد Proofpoint أنها غير ناجحة.

لقد تواصلنا مع عملاق التكنولوجيا للحصول على مزيد من التعليقات ، وسنقوم بتحديث القصة إذا سمعنا مرة أخرى.

للتخفيف من مثل هذه الهجمات ، يوصى بفرض سياسة كلمة مرور قوية ، وتفويض المصادقة متعددة العوامل (MFA) ، ومنع تنزيلات البيانات على نطاق واسع إلى الأجهزة غير المُدارة ، والحفاظ على نسخ احتياطية خارجية دورية لملفات السحابة ببيانات حساسة.

قال الباحثون: “الملفات المخزنة في حالة هجينة على كل من نقطة النهاية والسحابة ، على سبيل المثال من خلال مجلدات المزامنة السحابية ، ستقلل من تأثير هذه المخاطر الجديدة حيث لن يتمكن المهاجم من الوصول إلى الملفات المحلية / ملفات نقطة النهاية”. “لإجراء تدفق فدية كامل ، سيتعين على المهاجم اختراق نقطة النهاية والحساب السحابي للوصول إلى نقطة النهاية والملفات المخزنة على السحابة.”