Una funzionalità di Office 365 e Microsoft 365 espone ai file salvati sul cloud con SharePoint e OneDrive al rischio di essere criptati in modo potenzialmente irrecuperabile da un attacco ransomware

I ricercatori di Proofpoint hanno individuato una funzionalità in Office 365 e Microsoft 365 che può consentire a un attacco ransomware di criptare i file salvati su SharePoint e OneDrive in modo irrecuperabile senza la chiave di decrittazione dei malviventi o dei backup dedicati.

Come sottolinea l’analisi, tipicamente il ransomware attacca i dati negli endpoint o nella rete locale delle aziende e si tende a pensare che i drive sul cloud siano meno a rischio. Il versioning (controllo delle versioni) e le funzioni di salvataggio automatico e di ripristino sono considerati un backup sufficiente, ma la situazione potrebbe cambiare.

La ricerca si è focalizzata su due delle applicazioni per il cloud più popolari: SharePoint Online e OneDrive all’interno delle suite Microsoft 365 e Office 365. Ha dimostrato che ora i cyber criminali possono attaccare i dati delle aziende nel cloud. All’inizio i pirati compromettono le credenziali di un utente di Office 365, prendendo il controllo del suo account.

Rubano poi dei dati all’interno dell’ambiente SharePoint e OneDrive e sferrano infine un attacco ransomware. Per vanificare la protezione offerta dal controllo delle versioni, i pirati ne modificano i limiti per poter criptare tutte quelle accessibili. Come spiega lo studio di Proofpoint, la maggior parte degli account OneDrive ha un limite di 500 versioni salvate.

I pirati editano i file nelle librerie 501 volte, criptando ognuno di essi, impedendo in questo modo il ripristino. Se i cyber criminali hanno accesso a un account compromesso possono anche modificare il meccanismo del controllo delle versioni per gli elenchi o le raccolte, alterabile senza privilegi da amministratori, e ridurre anche il limite delle versioni che vengono salvate.