Office 365 pode dar acesso ao SharePoint e OneDrive

Pesquisadores de segurança da Proofpoint analisaram uma “funcionalidade perigosa” que pode dar acesso não autorizado a arquivos armazenados nos aplicativos de nuvem SharePoint e no OneDrive da Microsoft. Especificamente, a falha pode permitir que um ransomware criptografe arquivos armazenados nos serviços de nuvem por meio do recurso Microsoft 365 AutoSave e os tornasse irrecuperáveis ​​sem backups dedicados ou uma chave de descriptografia do invasor.

“Nossa pesquisa se concentrou em dois dos aplicativos de nuvem corporativos mais populares: o SharePoint Online e OneDrive nos pacotes Microsoft 365 e Office 365. Foi constatado que os operadores de ransomware agora podem direcionar os dados das organizações na nuvem e lançar ataques na infraestrutura da nuvem”, escreveu a Proofpoint em uma assessoria que realizou.

Segundo os pesquisadores da empresa, o primeiro passo para exploração dos serviços de nuvem seria obter acesso às contas do SharePoint Online ou OneDrive comprometendo ou sequestrando as identidades dos usuários.

De acordo com a Proofpoint, as três maneiras mais comuns de obter o ponto de apoio inicial envolvem violar a conta por meio de ataques de força bruta ou phishing, enganar um usuário para autorizar um aplicativo OAuth, que permite o acesso não autorizado de terceiros ou que assuma a sessão da web de um usuário conectado. Feito isso, o invasor teria acesso a qualquer arquivo de propriedade do usuário comprometido ou controlado pelo aplicativo OAuth (incluindo a conta OneDrive do usuário), para que pudesse criptografá-los.

Veja isso
Mais de 10 grupos APT estão explorando as falhas do Microsoft Exchange
Hackers invadem contas de OneDrive, Dropbox, Google Drive e Box

Para fazer isso com sucesso, a Proofpoint diz que os hackers reduziriam o limite de versão dos arquivos para um número baixo (idealmente 1) e depois os criptografariam mais vezes do que o limite de versão — para que nenhuma versão anterior não criptografada pudesse ser acessada. “Em alguns casos, o invasor pode exfiltrar os arquivos não criptografados como parte de uma tática de extorsão dupla”, diz o comunicado.

A empresa também listou uma série de práticas recomendadas destinadas a mitigar o impacto dessas tentativas maliciosas. Isso inclui adotar uma política de senha forte, aumentar o uso de autenticação multifator (MFA) e estabelecer uma política de acesso baseada em princípios e privilégios mínimos em aplicativos de nuvem.

A notícia surge após o último relatório mensal Netskope Threat Labs apontar que a exploração dos serviços em nuvem por operadores de ameaças continua a todo vapor. Segundo o estudo, em fevereiro, 65% dos malwares foram baixados de um aplicativo de nuvem legítimo, em linha com o valor médio dos últimos 12 meses — após o pico de 80% alcançado em fevereiro de 2021.

Em termos dos serviços mais explorados, o Google Drive caiu pelo quinto mês consecutivo, atingindo uma baixa de 12 meses. Essa tendência provavelmente foi impulsionada pelas proteções adicionais que o Google implementou recentemente para avisar os usuários quando abrem conteúdo potencialmente malicioso. Isso é exatamente o oposto do que aconteceu com o Microsoft OneDrive, que está liderando o gráfico dos serviços mais explorados, atingindo uma alta de 12 meses com uma participação de 45%.