Chapeau noir Il existe une vulnérabilité de ransomware assez sérieuse dans le système d’exploitation de bureau de Microsoft, selon une étude publiée cette semaine. Il est presque indétectable, utilise un flux de travail entièrement légitime pour chiffrer les fichiers et est préinstallé sur tous les nouveaux systèmes Windows : OneDrive.
Selon les conclusions présenté par le chercheur en sécurité SafeBreach Or Yair aujourd’hui chez Black Hat, OneDrive était un agent double prêt et volontaire qu’il a pu retourner contre les systèmes pour lesquels il est conçu pour synchroniser le stockage en nuage et protéger ostensiblement.
“Microsoft décrit OneDrive comme un abri contre les ransomwares”, a déclaré Yair. Le registre. “OneDrive est utilisé pour la récupération de données de ransomware, et Microsoft recommande même aux utilisateurs de stocker des fichiers importants dans OneDrive car ils sont mieux protégés dans le cloud.”
Pourtant, comme Yair l’a démontré lors de son discours, une série d’erreurs commises à la fois par Microsoft et des fournisseurs tiers ont montré que OneDrive était un logiciel facile à tromper, désireux de chiffrer tout ce avec quoi il peut obtenir une jonction.
Ils ont laissé des jetons de session où ?
OneDrive, pour ceux qui ne le connaissent pas, est à la fois le service de stockage en nuage de Microsoft et l’application exécutée localement installée sur les appareils Windows pour synchroniser les fichiers entre un répertoire OneDrive sur ladite machine et les serveurs distants de Microsoft.
La première chose à faire pour transformer OneDrive en agent double serait alors de détourner le compte de quelqu’un – une tâche que Yair a déclaré être relativement facile une fois qu’il a réussi à obtenir un compromis initial sur une machine Windows.
Il s’avère que OneDrive stocke tous ses fichiers journaux dans un répertoire pour l’utilisateur connecté. Ces journaux, à leur tour, contiennent des jetons de session que Yair a déclaré avoir pu extraire du fichier journal une fois qu’il en a récupéré une copie et l’a analysé. Avec le jeton volé, Yair a pu se mettre au travail.
Sortir des répertoires de OneDrive était assez simple – Yair a déclaré que si les liens symboliques ne peuvent être créés que par un administrateur (ce que Yair n’opérait pas comme lors de ses tests), les jonctions peuvent être créées par n’importe qui, mais ne peuvent pointer que vers un répertoire , pas un fichier spécifique.
“Une fois que nous créons des jonctions vers des zones en dehors du propre répertoire de OneDrive, nous obtenons une situation où il peut créer, modifier ou supprimer des fichiers sur une machine locale”, a déclaré Yair.
OneDrive inclut des fonctionnalités qui empêchent les rançongiciels de détruire les sauvegardes en garantissant qu’il existe des clichés instantanés de fichiers pouvant être restaurés en cas d’attaque, bien que Yair affirme qu’il a également pu subvertir ces fonctionnalités, l’application OneDrive pour Android étant le point faible de cet exemple.
Une API utilisée par l’application est différente des autres applications OneDrive, et ces différences ont permis à Yair de supprimer les copies originales des fichiers qu’il avait cryptés de telle manière qu’ils étaient irrécupérables, ne laissant à la victime que des sauvegardes cryptées de fichiers cryptés .
EDR ne peut pas vous sauver ici
La première réponse que l’on peut avoir à une telle menace de ransomware – qu’une application légitime devienne soudainement malveillante et commence à chiffrer des fichiers sur tout un appareil – est compréhensible : laissez le logiciel de détection et de réponse des terminaux s’en occuper.
À propos de ça …
Le logiciel EDR, a déclaré Yair, devrait détecter une telle activité, en particulier la suppression des clichés instantanés, bien que les logiciels de plusieurs grands fournisseurs d’entreprise n’aient pas réussi à repérer l’espion OneDrive parmi eux. CyberReason ne détecte pas le vandalisme, ni Microsoft Defender pour Endpoint, CrowdStrike Falcon ou Palo Alto Cortex XDR, a-t-on affirmé.
Le logiciel de SentinelOne l’a détecté et a signalé la possibilité d’une attaque par ransomware. Malheureusement, cela n’a toujours pas empêché la suppression des clichés instantanés, car l’exécutable OneDrive local figure sur une liste d’autorisation.
Parce qu’il s’agit d’une application de confiance dans plusieurs EDR, OneDrive ne déclenche pas d’alarmes lorsqu’il modifie des fichiers leurres, utilise des extensions de fichiers connues et approuvées pour les fichiers chiffrés et est autorisé à agir dans des dossiers autrement restreints. Comme aucun logiciel malveillant n’est installé sur la machine cible, il n’y a pas non plus de signature statique à détecter.
Ainsi, si un attaquant parvient à pirater un poste de travail Windows, il peut éventuellement chiffrer une bonne partie de la machine à l’aide d’un logiciel légitime. Existe-t-il un moyen de se défendre contre de telles attaques ?
Microsoft, au moins, a publié un correctif pour résoudre le problème rencontré par Yair, nous dit-on, tandis que Crowdstrike, CyberReason et Palo Alto ont tous corrigé leurs EDR.
Sinon, c’est aux applications de cesser de faire confiance aux autres processus par défaut – même s’ils sont créés par Microsoft, nous a dit Yair. “S’il n’y a pas d’autre option, les fournisseurs de sécurité doivent comprendre si un attaquant pourrait prendre le contrôle des processus [like OneDrive]comment le détecter et l’arrêter avant qu’il ne se produise.” ®
2023-08-11 00:22:00
1691710361
#Microsoft #OneDrive #agent #double #rançongiciel #volontaire #enthousiaste #Register
