Startseite » centron Blog » Daten auf OneDrive & SharePoint Online von Ransomware bedroht
 

Daten auf OneDrive & SharePoint Online von Ransomware bedroht


IT-SicherheitsexpertInnen von Proofpoint haben gezeigt, dass Dateien in Microsofts Cloudspeicherdiensten OneDrive und SharePoint Online nicht vor Ransomware-Attacken sicher sind.

 

Dank Funktionen wie der automatischen Sicherung der Dateien und dem Backup mehrere Versionen der Files konnten sich NutzerInnen von Microsofts Cloudspeicherdiensten OneDrive und SharePoint Online bislang weitestgehend sicher fühlen. Dank der genannten Maßnahmen wurde es für AngreiferInnen deutlich schwieriger, Informationen zu verschlüsseln und entsprechende Lösegeldforderungen zu stellen. Nun haben die IT-SicherheitsexpertInnen von Proofpoint allerdings eine Möglichkeit aufgezeigt, wie die Cloud-Systeme von Microsoft dennoch mit Ransomware verseucht werden können.

Gemäß eines Blogbeitrags haben die ForscherInnen eine potenziell gefährliche Funktion in Office 365 oder Microsoft 365 entdeckt. Diese ermöglicht es dem Beitrag zufolge, auf SharePoint und OneDrive gespeicherte Dateien mittels Ransomware so zu verschlüsseln, dass sie ohne ein Hinzuziehen von Sicherheitskopien auf externen Backups oder eine Entschlüsselung durch die AngreiferInnen nicht wiederherstellbar sind.


Angriffsablauf

Der Ausgangspunkt für HackerInnen ist dabei die Erlangung des Zugriffs auf die SharePoint Online- oder OneDrive-Konten eines oder mehrerer Benutzerkonten – beispielsweise durch Phishing-Methoden, mit Hilfe von Malware oder über verknüpfte Drittanwendungen.

Sobald die AngreiferInnen erst einmal Zugriff haben, können sie die Versionenanzahl der automatisch erstellten Sicherheitskopien (bis zu 500) auf eine einzige reduzieren. Um die Anzahl zu ändern sind keine besonderen Privilegien wie beispielsweise eine Administratorenrolle notwendig. Wird die einzige Sicherheitskopie anschließend verschlüsselt, ist der/die UserIn den AngreiferInnen ausgeliefert.

Die beschriebene Angriffsabfolge kann mithilfe von Microsoft-APIs, Befehlszeilenschnittstellen- und PowerShell-Skripten sogar automatisiert werden.


Schutzmöglichkeiten

Zum Schutz vor Angriffen dieser Art rät Proofpoint NutzerInnen dazu, ein Auge auf Änderungen der Konfiguration in Office365-Konten zu haben. Änderungen an den Versionierungseinstellungen sind den Security-ExpertInnen zufolge ungewöhnlich und sollten daher genauer unter die Lupe genommen werden.

Außerdem empfiehlt es sich, eine Kopie der in der Cloud gesicherten Daten zusätzlich immer auch lokal abzuspeichern. Sofern sich der Angriff auf die Cloud beschränkt und die HackerInnen keinen Zugriff auf den lokalen OneDrive- oder Sharepoint-Ordner erlangen, können die Daten so leicht wiederhergestellt werden.

In ihrem Beitrag verweisen die Proofpoint-ExpertInnen zudem darauf, dass der Support von Microsoft eigenen Angaben zufolge grundsätzlich in der Lage ist, auch ältere Dateiversionen (bis zu 14 Tage zurückliegend) wiederherzustellen.


Quelle: Proofpoint