Tin tặc có thể tấn công ransomware thông qua tính năng Microsoft Office 365

12:47, 01/07/2022

Một "tính năng nguy hiểm" trong Microsoft 365 đã được các nhà nghiên cứu tại Công ty an ninh mạng Proofpoint (Hoa Kỳ) phát hiện có khả năng bị khai thác để tấn công ransomware, với các tệp lưu trữ trên SharePoint và OneDrive để khởi động các cuộc tấn công vào cơ sở hạ tầng đám mây.

Trong một báo cáo được công bố ngày 16/6, các nhà nghiên cứu của Proofpoint tiết lộ rằng, các cuộc tấn công ransomware trên đám mây khiến nó có thể khởi chạy mã độc và mã hóa các tệp được lưu trữ trên SharePoint và OneDrive, làm cho các tệp này không thể khôi phục được nếu không có bản sao lưu chuyên dụng, hoặc khóa giải mã từ tin tặc.

Đồng thời, chuỗi lây nhiễm có thể được thực hiện bằng cách sử dụng kết hợp các API của Microsoft, tập lệnh giao diện dòng lệnh (CLI) và tập lệnh PowerShell.

Tấn công này được đặt tên “AutoSave”, nó sẽ tạo ra các bản sao của các phiên bản tệp cũ hơn, khi người dùng thực hiện các chỉnh sửa đối với tệp được lưu trữ trên OneDrive hoặc SharePoint Online.

Để thực hiện cuộc tấn công, tin tặc phải dành được quyền truy cập trái phép vào tài khoản SharePoint Online hoặc OneDrive của người dùng, tiếp theo là lạm dụng quyền truy cập để lọc và mã hóa tệp. 

Ba cách phổ biến nhất để tin tặc xâm phạm trực tiếp vào tài khoản Microsoft Office 365 là: các cuộc tấn công lừa đảo, lừa người dùng ủy quyền cho một ứng dụng OAuth của bên thứ ba giả mạo và đánh cắp phiên truy cập web của người dùng đã đăng nhập.

Được biết, OAuth là ứng dụng được tích hợp vào dịch vụ điện toán đám mây và có thể được cung cấp bởi một nhà cung cấp không phải nhà cung cấp dịch vụ đám mây. Các ứng dụng này có thể được sử dụng để mở rộng các dịch vụ đám mây như Microsoft Office 365 hoặc Google Workspace với các chức năng dành cho doanh nghiệp và các cải tiến đối với giao diện người dùng.

Điểm khác biệt giữa cuộc tấn công này với các chiến dịch ransomware thông thường là giai đoạn mã hóa sẽ yêu cầu khóa từng tệp trên SharePoint Online hoặc OneDrive nhiều hơn giới hạn lập phiên bản cho phép. 

Tấn công ransomware thông qua tính năng Microsoft Office 365

Minh họa chuỗi tấn công ransomware trên đám mây.

Microsoft xây dựng hành vi lập phiên bản trong tài liệu của mình như sau: “Một số tổ chức cho phép các phiên bản tệp không giới hạn và những tổ chức khác áp dụng các giới hạn. Sau khi kiểm tra phiên bản mới nhất của tệp, người dùng có thể phát hiện rằng phiên bản cũ bị thiếu. Nếu phiên bản gần đây nhất là 101.0 và nhận thấy rằng không còn phiên bản 1.0, điều đó có nghĩa là quản trị viên đã cấu hình để chỉ cho phép 100 phiên bản chính của tệp. Việc bổ sung phiên bản thứ 101 khiến phiên bản đầu tiên bị xóa. Dẫn đến chỉ còn lại các phiên bản 2.0 đến 101.0. Tương tự, nếu phiên bản thứ 102 được thêm vào, chỉ còn lại các phiên bản 3.0 đến 102.0”.

Bằng cách tận dụng quyền truy cập vào tài khoản, tin tặc có thể tạo nhiều phiên bản của tệp hoặc giảm số lượng phiên bản tệp xuống "1" và sau đó tiến hành mã hóa dữ liệu từng tệp hai lần. Lúc này, theo các nhà nghiên cứu giải thích: “tất cả các tài liệu gốc sẽ không còn, chỉ còn lại các phiên bản tệp được mã hóa của mỗi tệp trong tài khoản đám mây. Vì thế, tại thời điểm này, tin tặc có thể yêu cầu một khoản tiền chuộc từ các nạn nhân để lấy thông tin về việc mở khóa các tệp”.

Trước những phát hiện này của Proofpoint, Microsoft đã chỉ ra rằng các phiên bản tệp cũ hơn có thể được khôi phục trong vòng 14 ngày và sẽ được hỗ trợ. Tuy nhiên, Proofpoint cho biết họ đã cố gắng khôi phục tệp bằng phương pháp đó nhưng đã không thành công.

Chia sẻ với The Hacker News, người phát ngôn của Microsoft cho biết: "Kỹ thuật này chỉ có thể được thực hiện khi người dùng đã bị xâm phạm hoàn toàn bởi tin tặc. Chúng tôi khuyến cáo khách hàng của mình nên thao tác và sử dụng máy tính được an toàn, bao gồm cả việc thận trọng khi nhấp vào liên kết đến các trang web, mở tệp đính kèm không xác định hoặc chấp nhận truyền tệp dữ liệu”.

Để có thể ngăn chặn các cuộc tấn công như vậy, người dùng nên thiết lập các chính sách mật khẩu mạnh, sử dụng xác thực đa yếu tố (MFA), ngăn tải dữ liệu quy mô lớn xuống các thiết bị không được quản lý và duy trì việc sao lưu định kỳ bên ngoài các tệp đám mây có dữ liệu nhạy cảm.

Về phần mình, Microsoft cho biết họ sẽ lưu ý hơn nữa đến tính năng phát hiện ransomware OneDrive và sẽ thông báo cho người dùng Microsoft 365 về một cuộc tấn công tiềm ẩn, đồng thời cho phép nạn nhân khôi phục tệp của họ. 

Gã không lồ công nghệ này cũng đang khuyến khích người dùng nên sử dụng quyền truy cập có điều kiện để chặn hoặc giới hạn quyền truy cập vào nội dung SharePoint và OneDrive từ các thiết bị không được quản lý.

Các nhà nghiên cứu lưu ý rằng: “Các tệp được lưu trữ trên cả điểm cuối và đám mây, chẳng hạn như thông qua các thư mục đồng bộ hóa đám mây sẽ giảm tác động của các cuộc tấn công như trên. Do tin tặc sẽ không có quyền truy cập vào tệp cục bộ hoặc các điểm cuối".

PV