Microsoft Office 365 có thể bị tin tặc khai thác để tấn công ransomware

0
0

Mới đây, các nhà nghiên cứu của công ty an ninh mạng Proofpoint đã đưa ra cảnh báo rằng tin tặc có thể chiếm đoạt tài khoản Office 365 để mã hóa các tệp được lưu trữ trên SharePoint và OneDrive và khởi động các cuộc tấn công ransoware vào cơ sở hạ tầng đám mây.

Theo các nhà nghiên cứu, một cuộc tấn công bằng mã độc tống tiền (ransomware) nhắm mục tiêu vào các tệp trên các dịch vụ này có thể gây ra hậu quả nghiêm trọng nếu không có bản sao lưu chuyên dụng, khiến chủ sở hữu không thể truy cập được vào những dữ liệu quan trọng.

Về bản chất, cuộc tấn công xoay quanh một tính năng của Microsoft 365 là "AutoSave" để tạo ra các bản sao của các phiên bản tệp cũ hơn khi người dùng thực hiện các chỉnh sửa đối với tệp được lưu trữ trên OneDrive hoặc SharePoint Online.

Các nhà nghiên cứu cho biết, điều kiện tiên quyết duy nhất để mã hóa các tệp SharePoint và OneDrive là xâm phạm tài khoản Microsoft Office 365. Điều này có thể dễ dàng thực hiện thông qua các ứng dụng lừa đảo hoặc ứng dụng OAuth độc hại.

Ứng dụng OAuth là ứng dụng được tích hợp vào dịch vụ điện toán đám mây và có thể được cung cấp bởi một nhà cung cấp không phải nhà cung cấp dịch vụ đám mây. Các ứng dụng này có thể được sử dụng để mở rộng các dịch vụ đám mây như Microsoft Office 365 hoặc Google Workspace với các chức năng dành cho doanh nghiệp và các cải tiến đối với giao diện người dùng.

 

Sau khi chiếm đoạt được tài khoản Office 365, những kẻ tấn công có thể sử dụng kết hợp các API của Microsoft, các tập lệnh PowerShell để tự động hóa các hành động xâm phạm trái phép trên danh sách tài liệu lớn.

Theo Proofpoint, cách thức để hoàn thành giai đoạn khóa tệp nhanh hơn và làm cho việc khôi phục khó khăn hơn là giảm giới hạn phiên bản tài liệu và mã hóa tất cả các tệp nhiều hơn mức giới hạn đó.

Tác vụ này không yêu cầu đặc quyền quản trị và có thể được thực hiện từ bất kỳ tài khoản nào bị xâm nhập.

Ví dụ, các nhà nghiên cứu cho biết có thể giảm số lượng phiên bản tệp xuống "1" và mã hóa dữ liệu hai lần. Với giới hạn phiên bản tệp được đặt thành "1", khi kẻ tấn công mã hóa hoặc chỉnh sửa tệp hai lần, tài liệu gốc sẽ không còn khả dụng thông qua OneDrive và không thể khôi phục được.

Khi quá trình mã hóa tài liệu hoàn tất, tin tặc có thể yêu cầu nạn nhân trả tiền chuộc để đổi lấy việc mở khóa các tệp. Ngoài ra, việc đánh cắp các tài liệu gốc trước khi mã hóa cũng gây áp lực nhiều hơn cho nạn nhân dưới nguy cơ rò rỉ dữ liệu nếu không thực hiện các yêu cầu của chúng.

Proofpoint đã thông báo chức năng tấn công này cho Microsoft, nhưng gã khổng lồ công nghệ vẫn cho rằng khả năng này là kịch bản dự kiến, đồng thời khẳng định trong trường hợp mất dữ liệu bất ngờ như trong kịch bản tấn công trên, các nhân viên hỗ trợ có thể giúp nạn nhân khôi phục trong vòng 14 ngày sau khi sự cố xảy ra.

Tuy nhiên, Proofpoint cho biết họ đã cố gắng khôi phục tệp bằng phương pháp đó và không thành công.

Trong khi đó, chia sẻ với Hacker News, người phát ngôn của Microsoft cho biết: "Kỹ thuật này chỉ có thể thực hiện được khi người dùng đã bị xâm phạm hoàn toàn bởi kẻ tấn công. Chúng tôi khuyến khích khách hàng của mình thực hành các thói quen sử dụng máy tính an toàn, bao gồm cả việc thận trọng khi nhấp vào liên kết đến các trang web, mở tệp đính kèm không xác định hoặc chấp nhận truyền tệp".

Để có thể ngăn chặn các cuộc tấn công như vậy, Proofpoint đã đưa ra một số khuyến nghị về các phương pháp bảo mật tốt nhất đối với các tổ chức có thể bị nhắm mục tiêu, bao gồm: sử dụng xác thực đa yếu tố' duy trì việc sao lưu định kỳ bên ngoài các tệp đám mây có dữ liệu nhạy cảm; tìm kiếm các ứng dụng OAuth độc hại và thu hồi các quyền truy cập không cần thiết; đồng thời tăng các phiên bản có thể phục hồi ngay lập tức vào danh sách ứng phó sự cố.

Theo ictvietnam.vn

https://ictvietnam.vn/microsoft-office-365-co-the-bi-tin-tac-khai-thac-de-tan-cong-ransomware-20220619083213132.htm


Ý kiến bạn đọc


Thủ tướng: Tập trung hoàn thiện thể chế, chính sách phát triển Tây Nguyên

(VnMedia) - Tại Hội nghị về về phát triển kinh tế - xã hội và bảo đảm quốc phòng an ninh vùng Tây Nguyên, Thủ tướng nêu rõ cần tập trung hoàn thiện thể chế, chính sách phát triển và đẩy mạnh liên kết vùng.

Mách bạn các gói cước D15P VinaPhone chu kỳ dài ưu đãi cực khủng

(VnMedia) - Để đáp ứng nhu cầu gọi thoại và lướt web ngày càng gia tăng, VinaPhone đã triển khai các gói D15P VinaPhone chu kỳ dài. Sử dụng gói cước này, bạn sẽ có 1000 phút gọi nội mạng mỗi tháng, 500MB data tốc độ cao mỗi ngày với chỉ từ 66 ngàn đồng/1 tháng.

Bắc Bộ ngày nóng 35 độ C, chiều tối mưa rất to

(VnMedia) - Ngày cuối tuần (2/7), nhiệt độ ở Bắc Bộ tăng trở lại, với mức cao nhất dự báo khoảng 35 độ C tại Hà Nội; chiều tối có mưa to đến rất to. Trong mưa có khả năng lốc  sét và gió giật mạnh.

Công dân được cấp quyền khai thác thông tin về nhà ở và thị trường bất động sản

(VnMedia) - Nghị định 44 quy định: Trong thời hạn không quá 07 ngày làm việc kể từ khi nhận được yêu cầu, Bên cung cấp xem xét cấp quyền truy cập quyền khai thác, sử dụng thông tin, dữ liệu về nhà ở và thị trường bất động sản hợp lệ…

Bão số 1 liên tục mạnh lên, chiều mai giật cấp 15 khi đến gần Quảng Ninh

(VnMedia) - Đến 13 giờ ngày 02/7, vị trí tâm bão ở khoảng 21,2 độ Vĩ Bắc; 110,2 độ Kinh Đông, cách Quảng Ninh khoảng 270km về phía Đông. Sức gió mạnh nhất vùng gần tâm bão mạnh cấp 11-12, giật cấp 15…