Pensar em segurança na nuvem nunca foi tão crítico. Pesquisadores da Proofpoint mostraram que um ataque de ransomware pode tornar arquivos armazenados no OneDrive ou no SharePoint inacessíveis para os usuários. Ou seja, documentos hospedados na nuvem podem ser alcançados por criminosos cibernéticos.
Ainda que seja mais difícil criptografar esses arquivos permanentemente, principalmente devido aos recursos de backup oferecidos pelos provedores de serviços na nuvem, hackers podem tornar o acesso a dados sensíveis e confidenciais mais difícil, o que também pode impactar diretamente no dia a dia das empresas e na segurança na nuvem.
Nesse caso, os pesquisadores da empresa “criaram um cenário de ataque de prova de conceito que envolve o abuso das configurações”. Além disso, explicaram que os ataques também podem ser automatizados por meio de linha de comando ou script do PowerShell.
A cadeia de ataque começa com o comprometimento de credenciais de um usuário do Office 365, o que leva a posse da conta e a uma possível violação de dados ou ataque de ransomware direcionado aos arquivos armazenados no SharePoint e OneDrive. O problema, de acordo com o relatório da ProofPoint, é que ferramentas de backup que utilizam o recurso de salvamento automático, e que estão no cerne do problema, são citadas pela própria Microsoft como uma prática recomendada para evitar ataques e tornar a segurança na nuvem aprimorada.
A Microsoft recomenda configurar quantas versões de um determinado arquivo devem ser salvas nos serviços para reduzir a possibilidade de um ataque bem-sucedido e manter a segurança na nuvem. Apesar disso, no caso de um hacker modificar esse número, criptografar todas as versões armazenadas passa a ser possível. Por exemplo, como o OneDrive tem um limite padrão de 500 versões, se um hacker modificar esse limite para 501, todas as versões antigas ficarão inacessíveis, isso também acontece se o limite for reduzido para 1, o que descarta qualquer versão posterior e permite criptografar o arquivo mais facilmente.
Já a Microsoft, quando questionada sobre a vulnerabilidade, respondeu que “a funcionalidade de configuração [...] está funcionando conforme o esperado”, e que “versões mais antigas de arquivos podem ser potencialmente recuperadas e restauradas por mais 14 dias com a assistência do Suporte da Microsoft”. Ainda assim, os pesquisadores afirmam não terem conseguido restaurar versões antigas dessa forma.
A recomendação para otimizar a segurança na nuvem é implementar um sistema de senha mais forte, com o uso de um sistema SSO de segurança adicional e a adoção da autenticação multifator (MFA) e a manutenção de um backup externo para dados confidenciais. Além disso, é essencial investir em uma estratégia de resposta a incidentes e análise do comportamento do serviço, já que alterações nessas configurações não são comuns e devem ser consideradas como comportamento suspeito.
Além disso, é possível dificultar a ação de criminosos cibernéticos identificando alterações em configurações de alto risco e contas comprometidas e buscando por padrões de violação na política de segurança adotada pela empresa.
Outro ponto que também limita o alcance do ataque são documentos armazenados no dispositivo do usuário que são sincronizados automaticamente com o servidor na nuvem, o que mantém a integridade dos arquivos já que é possível restaurar a cópia armazenada localmente no usuário caso o hacker não tenha tido acesso ao endpoint.
Considerar que os arquivos armazenados na nuvem estão livres de serem alcançados e são resistentes à extorsão, apesar de realmente terem acesso dificultado aos hackers, é um risco que não se deve correr, não importando qual o serviço de armazenamento na nuvem utilizado. A estratégia de segurança na nuvem precisa considerar que os grupos de ransomware estão direcionando ataques na infraestrutura na nuvem.
Conheça a plataforma Varonis for Microsoft 365 e saiba como reduzir o risco que você não pode ver. Nossa solução ajuda sua equipe de TI a ver e reduzir o risco de colaboração rastreando e analisando continuamente as permissões de acesso e oferecendo maior campo de visão combinando atividades do Microsoft 365 com telemetria local e de perímetro para criar modelos de ameaças mais completos e garantir a segurança na nuvem. Entre em contato e solicite uma demonstração gratuita.