I ransomware non accennano a darci tregua e sembra che ora sia possibile un nuovo scenario d’attacco contro Office365, sfruttando una debolezza architetturale del sistema. La scoperta, estremamente recente, è frutto del lavoro dei ricercatori di Proofpoint che è stato pubblicato in un report disponibile online. Il fulcro dell’attacco è il sistema di versionamento dei documenti che, dopo il raggiungimento di un limite superiore, provoca la cancellazione delle versioni più vecchie degli stessi. Sfruttando, in modo inappropriato, le versioni dei documenti su SharePoint e OneDrive è possibile indurre la cancellazione dei documenti originali e la cifratura degli stessi, rendendo di fatto inutilizzabile il contenuto della share su cloud.
Il prerequisito per gli attaccanti è aver rubato delle credenziali utente, attraverso uno dei molteplici vettori d’attacco, come il phishing. A questo punto l’accesso al cloud è garantito e i malintenzionati potranno iniziare la procedura di attacco ransomware. L’anello debole come già anticipato è il sistema di versionamento dei documenti. Supponendo che il limite superiore sia 1, ciò vuol dire che modificando il file 2 volte, la versione 0 verrà cancellata automaticamente dal sistema. Aggiungendo, a questo punto, la cifratura del file e modificandolo due volte, l’originale non sarà più disponibile all’utente e l’unica versione accessibile sarebbe quella cifrata.
Il meccanismo è ancora più critico perché è possibile modificare il numero di versioni salvate in SharePoint e OneDrive senza privilegi amministrativi. Se quindi con valori alti di tale impostazione si potrebbe creare una difficoltà nella riuscita dell’attacco, a causa degli elevati sforzi computazionali necessari al superamento della soglia, d’altro canto è possibile diminuire il limite superiore con grande facilità.
Questa nuova modalità d’attacco mostra una debolezza intrinseca del sistema che invece era stato dichiarato a prova di ransomware. Molto spesso gli utenti, attivando la funzionalità di Autosave dei documenti di Office, hanno l’impressione di tenere i propri documenti su cloud ma in questo caso la funzionalità non annulla il rischio di attacco ransomware.
Una possibilità di riduzione del rischio, intesa come backup addizionale, potrebbe essere l’attivazione della sincronizzazione di cartelle piuttosto che la funzionalità di Autosave. In questo modo, il file sarebbe salvato in duplice copia sia sul dispositivo dell’utente che in cloud e un possibile attacco su SharePoint o OneDrive potrebbe essere mitigato dalla versione su endpoint.
Microsoft ha commentato la notizia dicendo che è comunque possibile recuperare file cancellati dalla policy di versionamento contattando l’assistenza di Microsoft Support entro 14 giorni. Tuttavia, i ricercatori di Proofpoint hanno messo in luce che la dichiarazione di Microsoft non è stata mantenuta in un caso documentato da loro stessi, per il quale non c’è stato modo di accedere ai file rimossi.
Le possibili contromisure sono naturalmente atte a intervenire nei prerequisiti dell’attacco. Alcune di queste potrebbero essere migliorare la policy delle password, attivare l’autenticazione multi-fattore e mantenere un backup dei dati esternamente. Accanto a queste misure preventive è sempre possibile modificare la soglia massima di versionamento, alzandola con lo scopo di rendere l’attacco più difficile. Infine, Proofpoint suggerisce l’adozione di sistemi di Data Loss Prevention per identificare per tempo potenziali trasferimenti di dati verso destinazioni esterne.
In conclusione, quest’ultimo report evidenzia una situazione di continuo mutamento con la scoperta di sempre nuove vulnerabilità e scenari d’attacco inconsueti. L’attenzione deve sempre essere alta per cercare di minimizzare potenziali impatti sui sistemi aziendali e personali.