Microsoft SharePoint und OneDrive potenziell anfällig für Ransomware

IT-Sicherheitsexperten von Proofpoint haben eine potenziell gefährliche Funktion in Microsoft 365 identifiziert, die es Ransomware ermöglicht, auf SharePoint Online und OneDrive gespeicherte Dateien so zu verschlüsseln, dass sie ohne spezielle Backups oder eine Entschlüsselung durch den Erpresser nicht wiederherstellbar sind.

Ransomware-Angriffe zielen für gewöhnlich auf Daten auf Endgeräten oder Netzlaufwerken. Bislang waren die meisten IT- und Sicherheitsteams der Meinung, dass Cloud-Speicher besser gegen Ransomware-Angriffe geschützt sind. Schließlich sollte die inzwischen bekannte „Automatisch speichern“-Funktion zusammen mit der Versionshistorie und dem guten alten Papierkorb für Dateien als Backup ausreichen. Laut Erkenntnissen der Proofpoint-Experten handelt es sich hierbei um eine Fehlannahme.

Wie ist das möglich?

Das Proofpoint-Team hat die Schritte identifiziert und dokumentiert, die dazu führen, dass die Dateien in den Konten der angegriffenen Benutzer verschlüsselt werden. Wie bei gewöhnlichen Ransomware-Angriffen können diese Dateien nach einer Infektion nur mit den entsprechenden Schlüsseln im Besitz der Erpresser wiederhergestellt werden.

Die folgenden Aktionen können mithilfe von Microsoft-APIs, Befehlszeilenschnittstellen- (CLI) und PowerShell-Skripten automatisiert werden:

1. Anfänglicher Zugriff: Cyberkriminelle verschaffen sich z.B. durch Phishing Zugriff auf SharePoint Online- oder OneDrive-Konten eines oder mehrerer Benutzer, indem sie die Identitäten der Benutzer kompromittieren oder kapern.
2. Kontoübernahme und -zugriff: Die Angreifer haben nun Zugriff auf alle Dateien, die dem kompromittierten Benutzer gehören oder von der OAuth-Anwendung eines Drittanbieters kontrolliert werden (was auch das OneDrive-Konto des Benutzers einschließen würde).
3. Sammlung & Exfiltration: Die Cyberkriminellen setzen das Versionslimit von Dateien auf eine niedrige Zahl, z. B. 1, der Einfachheit halber. Sie verschlüsseln die Datei öfter als die Versionsgrenze, in diesem Fall zweimal. Dieser Schritt ist bei Cloud-Ransomware anders als bei Ransomware-Angriffen auf Endpunkte/-geräte. In einigen Fällen können die Angreifer die unverschlüsselten Dateien extrahieren und so eine doppelte Erpressungstaktik umsetzen.
4. Monetarisierung: Jetzt sind alle ursprünglichen Versionen der Dateien (von vor dem Angriff) verloren, sodass nur noch die verschlüsselten Versionen der einzelnen Dateien im Cloud-Konto vorhanden sind. An diesem Punkt können die Angreifer von der Organisation ein Lösegeld verlangen.

Microsofts Reaktion

Vor der Veröffentlichung der Sicherheitslücke hat Proofpoint diese an Microsoft gemeldet und folgende Antworten erhalten.

• Die Konfigurationsfunktion für Versionseinstellungen funktioniert wie vorgesehen.
• Ältere Dateiversionen können mit Hilfe des Microsoft-Supports potenziell für 14 Tage wiederhergestellt werden.

Die Proofpoint-Experten haben jedoch versucht, alte Versionen auf diesem Weg (d.h. mit Hilfe des Microsoft-Supports) abzurufen und wiederherzustellen und waren dabei nicht erfolgreich. Die Sicherheitsforscher haben zudem gezeigt, dass der Konfigurations-Worflow der Versionseinstellungen, selbst wenn er wie vorgesehen funktioniert, von Angreifern für Cloud-Ransomware-Attacken missbraucht werden kann.

Gegenmaßnahmen

Glücklicherweise gelten viele der Empfehlungen, die für den Schutz vor Endpunkt-Ransomware gelten, auch für den Schutz von Cloud-Umgebungen.

Organisationen sollten zunächst die Erkennung riskanter Änderungen der Dateikonfiguration für Microsoft-365-Konten mit einer Lösung wie Proofpoint CASB aktivieren. Zwar kann ein Benutzer die Einstellung versehentlich ändern, aber das geschieht vergleichsweise selten. Falls Benutzer die Einstellung unwissentlich geändert haben, sollten sie darauf aufmerksam gemacht und aufgefordert werden, das Versionslimit zu erhöhen. Dies verringert das Risiko, dass ein Angreifer Benutzer kompromittiert und die bereits niedrigen Versionsgrenzen ausnutzt, um das Unternehmen zu erpressen.

Weitere Verbesserungen der Ransomware-Abwehr

• Stark gefährdete Personen: Organisationen sollten die Benutzer, die am häufigsten mit gefährlichen Cloud-, E-Mail- und Web-Angriffen konfrontiert sind, identifizieren und ihren Schutz priorisieren. Diese Benutzer gehören nicht zwangsläufig zum Kreis der Leute, die für gewöhnlich als besonders hochwertige Ziele erachtet werden, wie Führungskräfte und privilegierte Benutzer.
• Zugriffsverwaltung: Organisationen sollten strenge Passwortrichtlinien handhaben und Multi-Faktor-Authentifizierung (MFA) sowie eine prinzipienbasierte Zugriffsrichtlinie mit geringsten Privilegien für alle Cloud-Anwendungen anwenden.
• Notfallwiederherstellung und Datensicherung: Disaster-Recovery- und Datensicherungsrichtlinien müssen aktuell gehalten werden, um die Verluste im Falle von Ransomware zu reduzieren. Idealerweise führen Organisationen regelmäßig externe Backups von Cloud-Dateien mit sensiblen Daten durch. Sie sollten sich nicht nur auf Microsoft verlassen, wenn es darum geht, Backups durch Versionierung von Dokumentenbibliotheken zu erstellen.
• Cloud-Sicherheit: Organisationen sollten geeignete Tools einsetzen, um Konto-Kompromittierungen und den Missbrauch von Drittanbieteranwendungen zu erkennen und zu begegnen.
• Schutz vor Datenverlust: Download sensibler Daten und großer Datenmengen auf nicht verwaltete Geräte sollte verhindert werden, um das Potenzial für doppelte Erpressungstaktiken bei Ransomware-Angriffen zu verringern.

www.proofpoint.com/de