Microsoft Office 365功能可帮助勒索软件黑客劫持云文件

在Microsoft 365 suite中发现了一项“危险的功能”，恶意参与者可能会滥用该功能来勒索存储在SharePoint和OneDrive上的文件，并对云基础设施发起攻击。

Proofpoint在今天发布的一份报告中表示，云勒索软件攻击使得启动文件加密恶意软件成为可能，“对存储在SharePoint和OneDrive上的文件进行加密，使其在没有攻击者的专用备份或解密密钥的情况下无法恢复。”。

企业安全公司补充道，感染序列可以使用Microsoft API、命令行界面（CLI）脚本和PowerShell脚本的组合来执行。

攻击的核心是Microsoft 365的AutoSave功能，该功能在用户编辑OneDrive或SharePoint Online上存储的文件时创建旧文件版本的副本。

它从未经授权访问目标用户的SharePoint Online或OneDrive帐户开始，然后滥用访问权限对文件进行过滤和加密。获得初始立足点的三种最常见的途径包括通过网络钓鱼或暴力攻击直接破坏帐户、诱骗用户授权恶意第三方OAuth应用程序或接管登录用户的web会话。

但是，这种攻击与传统端点勒索软件活动的不同之处在于，加密阶段需要锁定SharePoint Online或OneDrive上的每个文件，超过允许的版本限制。

Microsoft在其文档中详细阐述了版本控制行为，如下所示-

一些组织允许文件的版本不受限制，而其他组织则应用了限制。签入文件的最新版本后，您可能会发现缺少旧版本。如果您的网络安全最新版本是101.0，并且注意到不再有版本1.0，则意味着管理员将库配置为只允许文件的100个主要版本。添加第101个版本会导致删除第一个版本。仅保留版本2.0至101.0。类似地，如果添加了第102个版本，则只剩下版本3.0到102.0。

通过利用对该帐户的访问，攻击者可以创建过多版本的文件，或者将文档库的版本限制降低到较低的版本，如“1”，然后对每个文件进行两次加密。

研究人员解释说：“现在，所有原始（攻击前）版本的文件都丢失了，云帐户中只剩下每个文件的加密版本。”。“此时，攻击者可以向组织索要赎金。”

针对调查结果，微软指出，在微软支持人员的帮助下，旧版本的文件可能会被恢复和恢复14天，而Proofpoint发现这一过程并不成功。

我们已经联系了这家科技巨头，寻求进一步的评论，如果我们得到回复，我们将更新报道。

研究人员说：“在端点和云上以混合状态存储的文件，例如通过云同步文件夹存储的文件，将减少这种新风险的影响，因为攻击者将无法访问本地/端点文件。”。“要执行完整的赎金流，攻击者必须破坏端点和云帐户才能访问端点和云存储的文件。”