Proofpoint mengidentifikasi fungsionalitas Microsoft 365 yang membuka vektor serangan berbasis cloud baru

Halo teman baik TanyaTekno, ketemu kembali kita di artikel ini. Di artikel ini saya bakal mengkaji Proofpoint mengidentifikasi fungsionalitas Microsoft 365 yang membuka vektor serangan berbasis cloud baru

mengapa itu penting: Firma keamanan siber Proofpoint baru-baru ini merilis temuan kerentanan terkait dengan dua aplikasi cloud perusahaan yang populer, SharePoint Online dan OneDrive. Temuan perusahaan menunjukkan bagaimana aktor jahat dapat memanfaatkan fungsionalitas dasar dalam aplikasi untuk mengenkripsi dan menyimpan file dan data pengguna untuk tebusan. Kerentanan ini menawarkan peretas cara lain untuk menyerang data dan infrastruktur berbasis cloud.

Eksploitasi bergantung pada rantai serangan empat langkah yang dimulai dengan identitas pengguna tertentu. Pelaku jahat menggunakan kredensial individu untuk mengakses akun pengguna di SharePoint atau OneDrive, mengubah pengaturan pembuatan versi, lalu mengenkripsi file beberapa kali, tanpa meninggalkan versi file yang tidak dienkripsi dalam risiko. Setelah file dienkripsi, mereka hanya dapat diakses dengan kunci dekripsi yang benar.

Akun pengguna dapat disusupi oleh kekerasan, serangan phishing, otorisasi yang tidak tepat melalui aplikasi OAuth pihak ketiga, atau sesi pengguna yang disusupi. Setelah dikompromikan, tindakan apa pun untuk mengeksploitasi kerentanan dapat diprogram untuk berjalan secara otomatis melalui Antarmuka Program Aplikasi (API), Windows PowerShell, atau melalui Antarmuka Baris Perintah (CLI).

Pembuatan versi adalah fungsi di SharePoint dan OneDrive yang membuat riwayat setiap file, mencatat perubahan apa pun ke dokumen dan pengguna yang membuat perubahan tersebut. Pengguna dengan izin yang sesuai kemudian dapat melihat, menghapus, atau bahkan memulihkan versi dokumen sebelumnya. Jumlah versi yang disimpan ditentukan oleh pengaturan versi dalam aplikasi. Pengaturan versi tidak memerlukan izin tingkat admin dan dapat diakses oleh pemilik situs atau pengguna mana pun dengan izin yang sesuai.

Mengubah jumlah versi dokumen yang dipertahankan merupakan hal mendasar untuk eksploitasi ini. Aktor jahat mengonfigurasi pengaturan versi untuk menampung jumlah versi yang diperlukan untuk setiap file. File-file tersebut kemudian dienkripsi lebih banyak daripada jumlah versi yang disimpan, tanpa meninggalkan cadangan yang dapat dipulihkan.

Misalnya, menyetel versi dokumen ke satu dan kemudian mengenkripsi file dua kali mengenkripsi versi master dan versi individual yang disimpan. Pada titik ini, file tebusan harus didekripsi menggunakan kunci dekripsi yang sesuai atau tetap tidak dapat dipulihkan.

Enkripsi bukan satu-satunya cara pengaturan rilis dapat dieksploitasi. Peretas dapat memilih untuk menyimpan salinan dokumen asli dan kemudian melanjutkan dan membuat sejumlah perubahan pada dokumen yang melebihi jumlah versi yang disimpan. Misalnya, jika versi diatur untuk menyimpan 200 salinan terakhir, perwakilan dapat membuat 201 perubahan. Ini akan memastikan bahwa salinan master di SharePoint atau OneDrive dan semua cadangan diubah sambil menyimpan yang asli untuk tebusan.

Blog Proofpoint menawarkan banyak rekomendasi untuk membantu melindungi Anda dan organisasi Anda dari jenis serangan ini. Rekomendasi ini, beberapa di antaranya dibangun di atas rangkaian produk keamanan siber Proofpoint, berfokus pada deteksi dini konfigurasi dan perilaku berisiko tinggi, meningkatkan manajemen akses, dan memastikan kebijakan pencadangan dan pemulihan yang memadai.

Kredit gambar: Proofpoint .Proses Serangan Ransomware

Demikianlah pembahasantentang Proofpoint mengidentifikasi fungsionalitas Microsoft 365 yang membuka vektor serangan berbasis cloud baru

. Jangan Lupa untuk
berbagi artikel ini ya sobat.

Rujukan Artikel