È stata recentemente individuata in Microsoft 365 una funzionalità potenzialmente pericolosa che potrebbe essere utilizzata in modo improprio da un attaccante per sferrare attacchi all’infrastruttura cloud e compromettere i file archiviati in SharePoint e OneDrive. Il potenziale attacco è di tipo ransomware e potrebbe consentire la crittografia dei file archiviati su SharePoint e OneDrive in modo tale da renderli irrecuperabili senza backup o senza la chiave di decifratura in possesso dell’attaccante.
L’attacco si basa su una funzionalità di Microsoft 365 denominata AutoSave, che crea copie di versioni precedenti dei file man mano che gli utenti apportano modifiche.
Uno specifico parametro di configurazione consente alle aziende di impostare un numero massimo di versioni conservabili durante le modifiche dell’utente. Sopraggiunto tale limite le nuove versioni sovrascriveranno le prime.
Accedendo fraudolentemente all’account utente, l’attaccante potrebbe creare molte versioni di un file o, in alternativa, ridurre il parametro che imposta il limite delle versioni conservabili e infine procedere a crittografare ogni file due volte. In questo modo, tutte le versioni originali dei file (pre-attacco) vengono perse, lasciando solo le versioni crittografate di ciascun file. A questo punto, l’attaccante può chiedere un riscatto all’azienda vittima sapendo che la stessa non è più in possesso delle versioni precedenti.
Per mitigare tali attacchi, si consiglia:
- di applicare criteri di password efficaci;
- di definire e implementare un’adeguata e periodica strategia di awareness e di formazione del personale;
- di imporre l’autenticazione a più fattori (MFA);
- di mantenere backup esterni periodici dei file in cloud con dati sensibili;
- di monitorare eventi sospetti come la variazione di configurazione o l’accesso sospetto dell’utente (analisi comportamentale).
Microsoft ha anche:
- sottolineato di avere una funzione di rilevamento ransomware su OneDrive che notifica agli utenti un potenziale attacco consentendo alle vittime di ripristinare i propri file;
- consigliato i clienti di utilizzare l’accesso condizionale per bloccare o limitare l’accesso ai contenuti di SharePoint e OneDrive da dispositivi non gestiti.