Il ricercatore di sicurezza Safebreach Or Yair è riuscito a dirottare l’app Microsoft Onedrive per lanciare attacchi ransomware. Come un ricercatore tronco d’albero Più chiaro, Microsoft in realtà descrive il servizio di archiviazione cloud integrato in Windows come Protezione da ransomwarePerché gli utenti di Onedrive sono generalmente in grado di recuperare i file crittografati dagli aggressori.
Microsoft consiglia agli utenti di archiviare file importanti in Onedrive perché sono protetti meglio nel cloud.Secondo Yair. Tuttavia, il ricercatore di sicurezza ha avuto successo Trasforma Onedrive in un doppio agente.
Microsoft archivia i token di sessione nei file di registro
Innanzitutto, il ricercatore ha violato l’account Microsoft associato al sistema di destinazione. Questa non è stata una grande sfida, poiché Onedrive salva i file di registro contenenti token di sessione validi in una directory per l’utente registrato.
Yair è stato quindi in grado di connettersi alle aree di archiviazione al di fuori della directory onedrive utilizzando fork. E così ha raggiunto Uno stato in cui i file possono essere creati, modificati o eliminati su un computer locale.. Di conseguenza, utilizzando qualsiasi software di crittografia, i dati sul sistema di destinazione possono essere resi inaccessibili al suo proprietario.
Il ricercatore è stato anche in grado di eliminare i backup creati dal servizio di archiviazione cloud di Microsoft, attraverso il quale un utente normalmente ripristinerebbe i file originali non crittografati, attraverso una vulnerabilità nell’app Android Onedrive. Di conseguenza, gli utenti del sistema Windows attaccato hanno trovato solo file crittografati.
Le attuali soluzioni di sicurezza non forniscono alcuna protezione
Poiché molte soluzioni di sicurezza popolari (EDR: Endpoint Detection and Response) hanno finora classificato Onedrive come un’applicazione attendibile, non offrivano alcuna protezione efficace contro un attacco di questo tipo. Poiché sul computer di destinazione non era installato alcun malware effettivo, non esisteva nemmeno una firma coerente che l’antivirus potesse riconoscere. Si dice che solo il software di Sentinelone abbia identificato l’attacco. Tuttavia, anche questo non ha impedito i processi, ma ha potuto solo avvisare l’utente di essi.
Si dice che Microsoft e i fornitori di diverse soluzioni EDR abbiano nel frattempo rilasciato aggiornamenti per contenere l’attacco descritto. Secondo Yair, è anche importante che le moderne soluzioni di sicurezza non si fidino ciecamente di alcuna applicazione, anche se sembra provenire dalla stessa Microsoft.
“Esperto di birra per tutta la vita. Appassionato di viaggi in generale. Appassionato di social media. Esperto di zombi. Comunicatore.”