Hacking

Ransomware bedroht auch Daten auf OneDrive

von - 21.06.2022
Foto: MashiroMomo/Pixabay
Dateien in Microsofts Cloudspeichern OneDrive und Sharpoint Online sind nicht mehr vor Ransomware-Attacken sicher. Dies haben Experten von Proofpoint dargelegt.
Wer Daten in Cloud-Diensten wie OneDrive ablegte, konnte sich bislang vor Ransomware-Attacken sicher fühlen. Denn Funktionen wie die automatische Sicherung der Dateien und dem Backup mehrere Versionen der Files stellten eine gewisse Hürde dar, um Informationen zu verschlüsseln und somit mit Lösegeldforderungen an die Anwender heranzutreten.
Bis jetzt: Denn nun hat der Cybersecuity-Experte Proofpoint einen Weg in einem Proof-of-Concept aufgezeigt, wie die Cloud-Systeme von Microsoft doch mit Ransomware verseucht werden können. Die Security-Forscher der Firma haben gemäss eines Blog-Beitrags eine potenziell gefährliche Funktion in Office 365 oder Microsoft 365 entdeckt, die es ermöglicht, auf SharePoint und OneDrive gespeicherte Dateien mit Ransomware so zu verschlüsseln, dass sie ohne Beizug von Sicherheitskopien auf externen Backups oder eine Entschlüsselung durch den Angreifer nicht wiederherstellbar sind.

Knackpunkt Versionierung

Ausgangspunkt für die Attacke ist die Übernahme von Benutzerkonten von SharePoint Online oder OneDrive. Dies kann beispielsweise über Phishing-Methoden, mit Malware oder über Drittanwendungen erfolgen, denen der Zugriff auf das Konto via OAuth gewährt wird (vgl. hierzu den Computerworld-Artikel «Angriffe auf Azure und Office 365»).
Ist einmal das Anwenderkonto im Besitz der Angreifer, ist es gemäss Proofpoint möglich, die Anzahl Versionen der automatisch erstellten Sicherheitskopien der in der Cloud gelagerten Dateien, die bis zu 500 erreichen kann, auf eine einzige zu reduzieren. Wird danach diese Version verschlüsselt, ist der User den Ransomware-Angreifern ausgeliefert.
«​​Jede Dokumentbibliothek in SharePoint Online und OneDrive hat eine vom Benutzer konfigurierbare Einstellung für die Anzahl gespeicherter Versionen», erklären die Proofpoint-Forscher. Um die Anzahl ändern zu können, bräuchten die User keine besonderen Privilegien wie etwa eine Administratorenrolle zu besitzen. Denn die Versionierungseinstellungen befänden sich unter den Listeneinstellungen für jede Dokumentbibliothek und seien auch reinen Usern zugänglich, heisst es weiter.

Rettungsmöglichkeiten

Die Forscher von Proofpoint weisen aber auch darauf hin, dass die von ihnen entdeckte Methode nur dann durchschlagend ist, wenn der Nutzer keine lokale Kopie seiner Daten besitzt. So könnten die Daten wiederhergestellt werden, wenn die Hacker keinen Zugriff auf den lokalen OneDrive- oder Sharepoint-Ordner hatten und die Dateien noch nicht mit der Online-Version synchronisiert wurden.
Daneben weist Proofpoint darauf hin, dass der Support von Microsoft eigenen Angaben zufolge grundsätzlich in der Lage sei, ältere Dateiversionen, die bis zu 14 Tage zurückliegen, wiederherzustellen. Dies beruht wahrscheinlich auf dem automatisierten Backupsystem des Dienstes, auf das die Benutzer nicht direkt zugreifen können.
In jedem Fall rät Proofpoint, ein Auge auf Änderungen der Konfiguration in Office365-Konten zu werfen. Änderungen an den Versionierungseinstellungen seien nämlich ungewöhnlich und sollten als verdächtiges Verhalten behandelt werden, raten die Security-Experten folglich.
Verwandte Themen