Proofpoint, yeni bulut tabanlı saldırı vektörlerini açan Microsoft 365 işlevselliğini tanımlar


Neden önemli: Siber güvenlik firması Proofpoint kısa süre önce iki popüler kurumsal bulut uygulaması olan SharePoint Online ve OneDrive ile ilgili güvenlik açığı bulgularını yayınladı. Firmanın bulguları, kötü aktörlerin bir kullanıcının dosyalarını ve fidye için verilerini şifrelemek ve saklamak için uygulamalardaki temel işlevlerden nasıl yararlanabileceğini açıkladı. Güvenlik açığı, bilgisayar korsanlarına bulut tabanlı verilere ve altyapıya saldırmak için başka bir yol sunuyor.

bu faydalanmak belirli bir kullanıcının kimliğinin ele geçirilmesiyle başlayan dört aşamalı bir saldırı zincirine dayanır. Kötü niyetli aktör, bir kullanıcının bilgilerine erişmek için bireyin kimlik bilgilerini kullanır. Paylaşım Noktası veya OneDrive hesaplar, sürüm oluşturma ayarlarını değiştirir ve ardından dosyaları birden çok kez şifreler ve güvenliği ihlal edilmiş dosyaların şifrelenmemiş bir sürümünü bırakmaz. Şifrelendikten sonra dosyalara yalnızca doğru şifre çözme anahtarları kullanılarak erişilebilir.

Kullanıcı hesapları, kaba kuvvet veya kimlik avı saldırıları, üçüncü taraf OAuth uygulamaları aracılığıyla uygunsuz yetkilendirme veya ele geçirilmiş kullanıcı oturumları tarafından ele geçirilebilir. Güvenliği ihlal edildiğinde, güvenlik açığından yararlanmaya yönelik herhangi bir eylem, aşağıdakiler aracılığıyla otomatik olarak çalıştırılmak üzere komut dosyasına yazılabilir: uygulama programı arayüzleri (API’ler), Windows Güç kalkanıveya komut satırı arabirimi (CLI) aracılığıyla.

sürüm oluşturma SharePoint ve OneDrive’da her dosya için geçmiş bir kayıt oluşturan, tüm belge değişikliklerini ve bu değişiklikleri yapan kullanıcıları günlüğe kaydeden bir işlevdir. Uygun izinlere sahip kullanıcılar daha sonra belgenin önceki sürümlerini görüntüleyebilir, silebilir ve hatta geri yükleyebilir. Tutulan sürüm sayısı, uygulamadaki sürüm oluşturma ayarları tarafından belirlenir. Sürüm ayarları, yönetici düzeyinde izinler gerektirmez ve uygun izinlere sahip herhangi bir site sahibi veya kullanıcı tarafından erişilebilir.

Tutulan belge sürümlerinin sayısını değiştirmek, bu istismarın anahtarıdır. Kötü niyetli kişi, dosya başına istenen sayıda sürümü tutmak için sürüm oluşturma ayarlarını yapılandırır. Dosyalar daha sonra tutulan sürüm sayısından daha fazla şifrelenir ve kurtarılabilir yedeklenmiş sürüm bırakmaz.

Örneğin, belge sürüm oluşturmayı bir olarak ayarlamak ve ardından dosyayı iki kez şifrelemek, ana kopyanın ve tek tutulan sürümün her ikisinin de şifrelenmesine neden olur. Bu noktada, fidye edilen dosyaların şifresi, ilgili şifre çözme anahtarı kullanılarak çözülmeli veya kurtarılmadan bırakılmalıdır.

Sürüm oluşturma ayarından yararlanmanın tek yolu şifreleme değildir. Bilgisayar korsanı, orijinal belgenin bir kopyasını tutmayı seçebilir ve ardından, tutulan sürüm sayısını aşan bir dizi değişiklik yapmaya devam edebilir. Örneğin, sürüm oluşturma son 200 kopyayı tutacak şekilde ayarlanmışsa, oyuncu 201 değişiklik yapabilir. Bu, orijinal kopya fidye için tutulurken SharePoint veya OneDrive’daki ana kopyanın ve tutulan tüm yedeklerin değiştirilmesini sağlar.

Proofpoint’in blogu sizi ve kuruluşunuzu bu tür saldırılara karşı korumaya yardımcı olacak birkaç öneri sunar. Bazıları Proofpoint’in şu yazılım paketine dayanan bu tavsiyeler: siber güvenlik ürünleriyüksek riskli yapılandırmaların ve davranışların erken tespitine, gelişmiş erişim yönetimine ve yeterli yedekleme ve kurtarma politikalarının yürürlükte olduğundan emin olmaya odaklanın.

Resim kredisi: Fidye yazılımı saldırı süreci kanıt noktası



Kaynak : https://www.techspot.com/news/94992-proofpoint-identifies-microsoft-365-functionality-opens-new-cloud.html

Yorum yapın