Vulnérabilités SharePoint et OneDrive – les infrastructures cloud nouvelles, cibles des ransomwares

0

Des recherches menées par Proofpoint démontrent que les acteurs du ransomware peuvent désormais lancer des attaques contre les infrastructures cloud des organisations. 

Les chercheurs se sont concentrés sur deux des applications cloud d’entreprise les plus populaires – SharePoint Online et OneDrive – et ont découvert une fonctionnalité potentiellement dangereuse dans Office 365 ou Microsoft 365.

Cette dernière permet aux ransomwares de chiffrer les fichiers stockés sur ces applications d’une manière qui les rend irrécupérables sans sauvegardes dédiées ou une clé de déchiffrement de l’attaquant.

Les étapes de l’attaque sont les suivantes :

  1. Accès initial : Obtenir l’accès aux comptes SharePoint Online ou OneDrive d’un ou plusieurs utilisateurs en compromettant ou en détournant l’identité des utilisateurs.
  2. Prise de contrôle du compte et découverte : L’attaquant a maintenant accès à tout fichier appartenant à l’utilisateur compromis ou contrôlé par l’application OAuth tierce (ce qui inclut également le compte OneDrive de l’utilisateur).
  3. Collecte et exfiltration : Réduis la limite du nombre de versions possible des fichiers à un nombre infime (par exemple 1), puis chiffre le fichier plus de fois que la limite de version, dans ce cas deux fois. Cette étape est propre aux ransomwares cloud par rapport à une chaîne d’attaque classique des systèmes en périphérie. Dans certains cas, l’attaquant peut exfiltrer les fichiers non chiffrés dans le cadre d’une double tactique d’extorsion.
  4. Monétisation : Dès lors, toutes les versions originales (avant l’attaque) des fichiers sont perdues, ne laissant que les versions chiffrées de chaque fichier dans le compte cloud. À ce stade, l’attaquant peut demander une rançon à l’organisation.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply