Microsoft Office 365-Funktion kann Cloud-Ransomware-Angriffe unterstützen

Ransomware-Hacking-Angriffe zielen in der Regel auf Daten ab, die auf Systemendpunkten und Online-Laufwerken gespeichert sind. Diese Dateien sind traditionell nicht so gründlich durch lokale Antivirensysteme geschützt, und obwohl Microsofts Web-Abwehrmechanismen zu den besten auf dem Markt gehören, wurde kürzlich eine „gefährliche Funktion“ in Microsoft Office 365 entdeckt. Proofpoint, eines der führenden Unternehmen für Cybersicherheitssoftware, hat vor kurzem einen Bericht veröffentlicht, der genaue Details über potenzielle Gefahren in einer Funktion von MS Office enthält, die dazu genutzt werden könnte, Dateien, die auf Sharepoint Office 365 oder Microsoft OneDrive gespeichert sind, auszulösen.

In diesem Artikel sollen die neu entdeckten Schwachstellen von MS Office erläutert werden, wie sie von Cyber-Akteuren ausgenutzt werden können und wie Unternehmen ihr Unternehmen vor solchen Bedrohungen schützen können.

Das Problem: Versionierungssystem der Dokumentenbibliothek

Das Versionierungssystem der Dokumentenbibliothek ist in allen Komponenten der Microsoft Office-Suite vorhanden. Es handelt sich dabei um eine Einstellung, die automatisch verschiedene Versionen von Projekten speichert und es den Benutzern ermöglicht, diese zurückzuverfolgen und zu verwenden. Leider sind die „Versionierungseinstellungen“ ausnutzbar und sehr anfällig für Ransomware-Angriffe. Cyber-Akteure können den Zugriff auf alle Dokumentversionen dauerhaft verweigern, indem sie das Original mehrmals verschlüsseln, bevor sie die vom Benutzer festgelegte Anzahl von Versionen außer Kraft setzen. Dies kann auf verschiedene Weise geschehen:

  1. Festlegen der Versionsgrenze auf zwei Kopien und anschließendes zweimaliges Verschlüsseln des Originals, wodurch alle künftigen Versionen gesperrt werden, während der Zugriff auf das Original verweigert wird
  2. Verwendung von Office-Skripten zur Massenbearbeitung der Dateien 501 Mal (Standardversionierungsgrenze), wodurch die Möglichkeit der Wiederherstellung dieser Dateien ausgeschlossen wird.

Im ersten Fall können die Dokumente wiederhergestellt werden, aber das Verfahren erfordert hochentwickelte Technologie und einen erheblichen Zeitaufwand. Im zweiten Fall ist der Schaden schwerer, aber die Rückverfolgbarkeit der Vorgänge ist viel höher.

Ransomware-Angriffe auf Office 365

Ransomware-Angriffe, die unter Ausnutzung der Versionierungsfunktion von Office 365 ausgeführt werden, sind relativ einfach. Da die Schwachstellen in der Versionierung inhärent sind, müssen sich Cyber-Akteure nur darauf konzentrieren, die OneDrive- oder Sharepoint-Office-365-Konten zu kapern und die Dateien zu verschlüsseln. Das Angriffsverfahren kann in mehrere Elemente unterteilt werden, die wir in den folgenden Abschnitten behandeln:

Zugang zum Konto

Cyber-Akteure verschaffen sich auf verschiedene Weise Zugang zu OneDrive- oder Sharepoint-Konten. Brute-Force-Angriffe sind sehr effizient gegen Konten, die durch schwache Passwörter geschützt sind, während Social Engineering verwendet werden kann, um selbst die komplexesten Anmeldedaten zu erhalten. Brute-Force-Angriffe sind leicht zu erkennen und können den Angreifer von weiteren Versuchen abhalten. Andere bemerkenswerte Arten von Cyberangriffen, die eingesetzt werden können, um einen ersten Zugang zu Benutzerkonten zu erhalten, sind unter anderem:

  • Phishing-Angriffe
  • Keylogger
  • Man-in-the-Middle (MitM)
  • Wörterbuch-Angriffe
  • Credential Stuffing

Kontoübernahme

Nachdem der Cyberkriminelle Zugriff auf das OneDrive/Sharepoint-Profil der Zielperson erlangt hat, kann er alle Dokumente, für die keine besonderen Anmeldeinformationen wie Administratorrechte erforderlich sind, frei durchsuchen, verwenden und sogar herunterladen. Die Verstärkung der Sicherheit einzelner Dateien in OneDrive oder Sharepoint Office 365 ist nicht allzu häufig, da sich die meisten Benutzer auf die hochmodernen Cybersicherheitsmaßnahmen von Windows verlassen, um ihre Daten zu schützen. Cyber-Akteure stehen in der Regel vor minimalen Herausforderungen, sobald sie Zugriff auf den Sharepoint/OneDrive-Cloud-Speicher des Ziels haben.

Data Discovery

Die meisten Hacker verbringen nicht allzu viel Zeit damit, sich in die Profile ihrer Zielpersonen einzuloggen, aus Angst, erwischt zu werden. Wenn die Zielperson von den Hackerangriffen erfährt, kann sie Backups erstellen und diese Cyberangriffe wirksam abwehren.

Das Problem mit OneDrive Office 365 ist in dieser Hinsicht, dass alle Dokumente in der Cloud nach Datum und Titel aufgelistet sind, was Hackern wertvolle Informationen über jede Datei liefert. Es ist viel einfacher, kritische Dokumente ausfindig zu machen, als Dutzende von Dokumenten zu öffnen und visuell zu scannen.

Dokumentbibliothek Versionierung Exploit

Wie im vorangegangenen Abschnitt erläutert, wird die Ausnutzbarkeit des DLV-Systems dadurch erreicht, dass die Versionsgrenze auf ein absolutes Minimum reduziert oder das aktuelle Maximum überwunden wird. Alle Dateien werden dann bearbeitet und verschlüsselt. Das Ziel kann Monate brauchen, um alle Dateien wiederherzustellen, oder im ersten Fall die Originale nie zurückerhalten, es sei denn, es wird Lösegeld an den Angreifer gezahlt.

Monetarisierung

Das Endergebnis des Office 365 DLV-Exploits ist das gleiche wie bei herkömmlichen Ransomware-Angriffen. Die verschlüsselten Dateien können nur mit dem Schlüssel entsperrt werden, den der Angreifer nur freigibt, wenn Sie das Lösegeld zahlen.

Prävention: Wie man Ransomware-Angriffe auf Office 365 vermeidet

Das System zur Versionierung der Dokumentenbibliothek ist eine Funktion von MS Office 365.  Bis Microsoft dieses Problem behebt, können Cyberkriminelle jedes OneDrive- oder Sharepoint-Profil angreifen und dabei nur minimale Spuren hinterlassen.

Es gibt mehrere Möglichkeiten, entweder das Risiko von Ransomware-Angriffen zu verringern oder die Schutzmaßnahmen Ihrer MS-Cloud-basierten Cybersicherheit zu verbessern, die unter anderem Folgendes umfassen

  • Prüfen Sie alle E-Mails sorgfältig, um Phishing-Angriffe zu vermeiden.
  • Verwenden Sie Software zur Passwortverwaltung, um das Ausfüllen von Anmeldedaten zu vermeiden.
  • Seien Sie vorsichtig, wem Sie Ihre Passwörter mitteilen, um die Social-Engineering-Bemühungen von Cyber-Akteuren zu vereiteln. Microsoft-Mitarbeiter werden Sie niemals nach Ihrem Passwort fragen.
  • Erstellen Sie ein sicheres Passwort und aktivieren Sie die MF-Authentifizierung, um Brute-Force-Angriffe zu vermeiden. Dadurch werden auch die Chancen auf erfolgreiche MitM-Angriffe minimiert.
  • Aktualisieren Sie Ihr Antivirenprogramm und führen Sie regelmäßig Scans durch, um nach Keyloggern zu suchen.
  • Merken Sie sich die Versionseinstellungen Ihrer Dokumentenbibliothek in MS Office und überwachen Sie sie täglich. Es besteht die Möglichkeit, dass ein Cyberangreifer sie geändert hat, ohne weitere Fortschritte zu machen.

Ransomware-Angriffe sind selten zufällig. Cyber-Akteure haben es vor allem auf Schlüsselpersonen in etablierten Unternehmen und Organisationen abgesehen, aber es ist immer besser, alles zu tun, was in Ihrer Hand liegt, um Hacking-Versuche abzuwehren.

Microsoft hat ein Zentrum für die Meldung bösartiger Treiber mit dem Namen „Antimalware and Cybersecurity Portal“ eingerichtet. Wenn Sie das Gefühl haben, dass Sie ein Ziel werden könnten, sollten Sie die offizielle Website besuchen.

Lösung: Wie DIESEC bei Office 365 Ransomware-Angriffen helfen kann

Diesec ist ein in Deutschland ansässiges, führendes Unternehmen im Bereich Cybersicherheit, das eine Vielzahl von IT- und Cybersicherheitsdienstleistungen anbietet. Diesec bietet eine konkrete Lösung für das Problem der DLV-Exploits in Microsoft OneDrive und Sharepoint. Wir können Back-up-Systeme vor Ort installieren, um narrensichere Back-ups von Office 365-Daten zu erstellen. Selbst wenn alle Cloud-Backups/Versionen unzugänglich wären, könnten diese Backups vor Ort noch gelesen werden.

Darüber hinaus bieten wir auch Penetrationstests und Red-Teaming-Dienste an, die Ihr System gründlich testen und Ihnen dabei helfen, Lücken zu schließen, die verhindern, dass böswillige Akteure überhaupt erst Zugriff auf Ihre Microsoft Onedrive-Konten erhalten. Kontaktieren Sie uns noch heute für ein kostenloses Beratungsgespräch, um zu erfahren, wie wir Ihre Sicherheitsanforderungen erfüllen können!