One Drive et Sharepoint : peu fiables face aux ransomwares

Des fichiers OneDrive et SharePoint sont susceptibles de faire l’objet d’attaques, notamment par des ransomwares, en trafiquant les paramétrages des versions, selon un PoC apportée par un fournisseur de solutions de sécurité.

Mise en garde sur la sécurité des documents dans le cloud

Les experts en sécurité mettent en garde contre le fait que les documents stockés sur le cloud peuvent encore être vulnérables aux attaques de ransomware. Le cryptage permanent est plus difficile à réaliser en raison des fonctions de sauvegarde automatisées du service cloud, mais il y a néanmoins des techniques pour embrouiller les entreprises. Un PoC d’exploit a été développé dans le but de profiter des paramètres de gestion des versions des documents dans les services OneDrive et SharePoint Online de Microsoft. En outre, puisque l’accès à la majorité de leurs fonctionnalités se fait via des API, il est possible d’automatiser les attaques éventuelles en utilisant l’interface de ligne de commande et les scripts PowerShell.

Plusieurs comptes OneDrive ou SharePoint Online ont été compromis au début de la série d’attaques. L’hameçonnage, le fait d’infecter l’ordinateur de l’utilisateur avec un logiciel malveillant puis de pirater ses sessions authentifiées, ou le fait de tromper les utilisateurs pour qu’ils autorisent une application étrangère à accéder à leur compte via OAuth ne sont que quelques-unes des méthodes qui peuvent être utilisées à cette fin.

Deux procédés potentiels pour une attaque

Compte tenu des explications des chercheurs, toutes les bibliothèques de documents dans SharePoint Online et OneDrive ont un paramètre personnalisable pour le nombre de versions enregistrées. Le propriétaire du site peut régler ce paramètre, peu importe ses autres rôles. Il n’est pas nécessaire qu’ils disposent de privilèges d’administrateur. Les paramètres de liste de chaque bibliothèque de documents contiennent les options de contrôle de version. Selon cette méthode, les versions cryptées du document remplaceront les 500 copies sauvegardées antérieurement.

Une alternative plus rapide est de changer la configuration de la version à 1 et de n’effectuer que deux modifications, puis de crypter le fichier après chaque modification. Ainsi, toutes les versions précédemment enregistrées seront effacées, ou au minimum celles qui sont à la disposition directe de l’utilisateur ou de l’organisation à laquelle il appartient.

Une piste d’attaque restreinte

Les documents sont synchronisés dans le cloud et au niveau d’un terminal bout de réseau, ce qui pose une contrainte à cette attaque. Il est possible de récupérer le fichier grâce à la copie locale de l’utilisateur dans le cas où l’attaquant n’a pas davantage accès au endpoint.

La restauration par le biais du support Microsoft est une autre potentielle contrainte. Microsoft a apparemment déclaré que les employés de son service clientèle étaient en mesure de restaurer des versions de fichiers datant de 14 jours. En revanche, les chercheurs déclarent avoir essayé de restaurer d’anciennes versions de documents en passant par le support de Microsoft, sans succès.

Il est alors suggéré aux organisations de garder un œil sur les modifications apportées aux paramètres des fichiers de leurs comptes Office 365. Les modifications de configuration de la gestion des versions sont peu courantes et sont donc à considérer avec méfiance. Parmi les recommandations majeures figurent la création d’une authentification multifactorielle et des politiques de mots de passe renforcées, l’examen des programmes tiers qui ont un accès OAuth aux comptes ainsi que le déploiement d’une stratégie de sauvegarde externe qui inclut les fichiers dans le cloud.