Proofpoint-Analyse

Microsoft SharePoint und OneDrive potenziell anfällig für Ransomware

Sicherheitsforscher haben eine gefährliche Funktion in Microsoft 365 entdeckt, die Ransomware-Attacken auf SharePoint und OneDrive ermöglichen könnte.
Von 
CSO | 17. Juni 2022 15:00 Uhr
Cyberkriminelle könnten SharePoint- und OneDrive-Funktionen für Ransomware-Attacken missbrauchen.
Cyberkriminelle könnten SharePoint- und OneDrive-Funktionen für Ransomware-Attacken missbrauchen.
Foto: Tada Images - shutterstock.com

Bislang sind viele IT-Teams und Sicherheitsverantwortliche davon ausgegangen, dass Ransomware-Angriffe hauptsächlich auf Endgeräte oder Netzlaufwerke abzielen und Cloud-Speicher dagegen geschützt sind. Doch Angriffe mit Erpressersoftware, die es auf Cloud-Dienste abgesehen haben, kommen immer häufiger vor. Nach den Angaben des US Computer Emergency Readiness Team (US-Cert) ist die Zahl solcher Attacken im vergangenen Jahr deutlich gestiegen.

Forscher des Security-Anbieters Proofpoint haben jetzt eine Funktion in SharePoint Online und OneDrive aufgespürt, mit der es Hackern gelingen könnte, Daten so zu verschlüsseln, dass sie ohne spezielle Backups oder eine Entschlüsselung durch den Angreifer nicht wiederherstellbar sind.

Laut der Proofpoint-Experten können die Angreifer mithilfe von Microsoft-APIs, Befehlszeilenschnittstellen- (CLI) und PowerShell-Skripten folgendermaßen vorgehen:

  • 1. Anfänglicher Zugriff: Cyberkriminelle verschaffen sich zum Beispiel durch Phishing Zugriff auf SharePoint Online- oder OneDrive-Konten eines oder mehrerer Benutzer, indem sie die Identitäten der User kompromittieren oder kapern.

  • 2. Kontoübernahme und -zugriff: Die Angreifer haben nun Zugriff auf alle Dateien, die dem kompromittierten Benutzer gehören oder von der OAuth-Anwendung eines Drittanbieters kontrolliert werden (was auch das OneDrive-Konto des Benutzers einschließen würde).

  • 3. Sammlung & Exfiltration: Die Cyberkriminellen setzen das Versionslimit von Dateien auf eine niedrige Zahl, zum Beispiel auf Eins. Daraufhin verschlüsseln sie die Datei öfter als die Versionsgrenze, in diesem Fall zweimal. Dieser Schritt ist bei Cloud-Ransomware anders als bei Ransomware-Angriffen auf Endpunkte/-geräte. In einigen Fällen können die Angreifer die unverschlüsselten Dateien extrahieren und so eine doppelte Erpressungstaktik umsetzen.

  • 4. Monetarisierung: Jetzt sind alle ursprünglichen Versionen der Dateien (vor dem Angriff) verloren, sodass nur noch die verschlüsselten Versionen der einzelnen Dateien im Cloud-Konto vorhanden sind. An diesem Punkt können die Angreifer von der Organisation ein Lösegeld verlangen.

Angriffsmuster für Cloud-Ransomware-Attacken.
Angriffsmuster für Cloud-Ransomware-Attacken.
Foto: Proofpoint

Das sagt Microsoft dazu

Nach eigenen Angaben hat Proofpoint diese Sicherheitslücke bei Microsoft gemeldet und folgende Antwort erhalten: "Die Konfigurationsfunktion für Versionseinstellungen funktioniert wie vorgesehen. Ältere Dateiversionen können mit Hilfe des Microsoft-Supports potenziell für 14 Tage wiederhergestellt werden."

Die Security-Speziallisten haben daraufhin versucht, alte Versionen auf diesem Weg mit Hilfe des Microsoft-Supports abzurufen und wiederherzustellen. Doch dabei seien sie erfolglos gewesen. Zudem stellten sie fest, dass der Konfigurations-Workflow der Versionseinstellungen, selbst wenn er wie vorgesehen funktioniert, von Angreifern für Cloud-Ransomware-Attacken missbraucht werden kann.

So schützen Sie Ihre Cloud-Dienste vor Ransomware

Laut Proofpoint sollten Unternehmen zunächst die Erkennung riskanter Änderungen der Dateikonfiguration für Microsoft-365-Konten mit Hilfe einer Schutzlösung aktivieren. "Zwar kann ein Benutzer die Einstellung versehentlich ändern, aber das geschieht vergleichsweise selten. Falls Benutzer die Einstellung unwissentlich geändert haben, sollten sie darauf aufmerksam gemacht und aufgefordert werden, das Versionslimit zu erhöhen", erklärt der Sicherheitsanbieter. Dies verringere das Risiko, dass ein Angreifer die bereits niedrigen Versionsgrenzen ausnutzt, um das Unternehmen zu erpressen.

Die Security-Experten empfehlen folgende Schutzmaßnahmen:

  • Stark gefährdete Personen: Organisationen sollten die Benutzer, die am häufigsten mit gefährlichen Cloud-, E-Mail- und Web-Angriffen konfrontiert sind, identifizieren und ihren Schutz priorisieren. Diese User gehören nicht zwangsläufig zu den Führungskräften und privilegierten Benutzern.

  • Zugriffsverwaltung: Organisationen sollten strenge Passwortrichtlinien durchsetzen und Multi-Faktor-Authentifizierung (MFA) sowie eine prinzipienbasierte Zugriffsrichtlinie mit geringsten Privilegien für alle Cloud-Anwendungen anwenden.

  • Notfallwiederherstellung und Datensicherung: Disaster-Recovery- und Datensicherungsrichtlinien müssen aktuell gehalten werden, um die potenziellen Verluste im Falle von Ransomware-Angriffen zu reduzieren. Idealerweise führen Organisationen regelmäßig externe Backups von Cloud-Dateien mit sensiblen Daten durch. Sie sollten sich nicht nur auf Microsoft verlassen, wenn es darum geht, Backups durch Versionierung von Dokumentenbibliotheken zu erstellen.

  • Cloud-Sicherheit: Organisationen sollten geeignete Tools einsetzen, um Konto-Kompromittierungen und den Missbrauch von Drittanbieteranwendungen zu erkennen und dem mit passenden Maßnahmen zu begegnen.

  • Schutz vor Datenverlust: Download sensibler Daten und großer Datenmengen auf nicht verwaltete Geräte sollte verhindert werden, um das Potenzial für doppelte Erpressungstaktiken bei Ransomware-Angriffen zu verringern.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.