چرا مهم است: شرکت امنیت سایبری Proofpoint اخیراً یافته‌های آسیب‌پذیری مربوط به دو برنامه کاربردی ابری محبوب سازمانی، SharePoint Online و OneDrive را منتشر کرده است. یافته‌های این شرکت توضیح می‌دهد که چگونه بازیگران بد می‌توانند از عملکردهای اساسی در برنامه‌ها برای رمزگذاری و نگهداری فایل‌ها و داده‌های کاربر برای باج استفاده کنند. این آسیب‌پذیری راه دیگری را برای حمله به داده‌ها و زیرساخت‌های مبتنی

این اکسپلویت به یک زنجیره حمله چهار مرحله‌ای متکی است که با به خطر انداختن هویت یک کاربر خاص آغاز می‌شود. عامل مخرب از اعتبار فردی برای دسترسی به حساب‌های SharePoint یا OneDrive کاربر استفاده می‌کند، تنظیمات نسخه‌سازی را تغییر می‌دهد و سپس چندین بار فایل‌ها را رمزگذاری می‌کند و هیچ نسخه رمزگذاری نشده‌ای از فایل‌های در معرض خطر باقی نمی‌گذارد. پس از رمزگذاری، فایل‌ها فقط با استفاده از کلیدهای رمزگشایی مناسب قابل دسترسی هستند.

حساب‌های کاربر می‌توانند با استفاده از زور یا حملات فیشینگ، مجوز نادرست از طریق برنامه‌های شخص ثالث OAuth یا جلسات کاربر ربوده شده در معرض خطر قرار گیرند. پس از به خطر افتادن، هر اقدامی برای سوء استفاده از آسیب‌پذیری می‌تواند به‌طور خودکار از طریق رابط‌های برنامه کاربردی (API)، Windows PowerShell یا از طریق رابط خط فرمان (CLI) اجرا شود.

Versioning تابعی در SharePoint و OneDrive است که یک رکورد تاریخی برای هر فایل ایجاد می کند و هر فایلی را ثبت می کند. تغییرات سند و کاربر(هایی) که این تغییرات را انجام داده اند. کاربران با مجوزهای مناسب می توانند نسخه های قبلی سند را مشاهده، حذف یا حتی بازیابی کنند. تعداد نسخه‌های نگهداری شده توسط تنظیمات نسخه‌سازی در برنامه تعیین می‌شود. تنظیمات نسخه به مجوزهای سطح سرپرست نیاز ندارد و هر صاحب سایت یا کاربر با مجوزهای مناسب می تواند به آن دسترسی داشته باشد.

تغییر تعداد نسخه های سند حفظ شده، کلید این سوء استفاده است. عامل مخرب تنظیمات نسخه‌سازی را به گونه‌ای پیکربندی می‌کند که تعداد نسخه‌های مورد نظر در هر فایل را حفظ کند. سپس فایل ها بیشتر از تعداد نسخه های حفظ شده رمزگذاری می شوند و هیچ نسخه پشتیبان گیری قابل بازیابی باقی نمی ماند.

به عنوان مثال، تنظیم نسخه سند روی یک و سپس رمزگذاری دو بار فایل، منجر به کپی اصلی و تک نسخه حفظ شده هر دو رمزگذاری شده است. در این مرحله فایل‌های باج‌گیری شده باید با استفاده از کلید رمزگشایی مربوطه رمزگشایی شوند یا بازیابی نشده باقی بمانند.

رمزگذاری تنها راهی نیست که می‌توان از تنظیمات نسخه‌سازی استفاده کرد. هکر ممکن است تصمیم بگیرد که یک کپی از سند اصلی را نگه دارد و سپس اقدام به ایجاد تعدادی تغییر در سند کند که از تعداد نسخه های نگهداری شده بیشتر باشد. به عنوان مثال، اگر تنظیم شده باشد که نسخه سازی 200 نسخه آخر را حفظ کند، بازیگر می تواند 201 تغییر ایجاد کند. این تضمین می‌کند که کپی اصلی در SharePoint یا OneDrive و همه نسخه‌های پشتیبان حفظ شده در حالی که نسخه اصلی را برای باج نگهداری می‌کنید، تغییر داده شده‌اند.

وبلاگ Proofpoint چندین توصیه برای کمک به محافظت از شما و سازمانتان در برابر این موضوع ارائه می‌کند. نوع حمله این توصیه‌ها، که برخی از آنها به مجموعه محصولات امنیت سایبری Proofpoint متکی هستند، بر تشخیص زودهنگام پیکربندی‌ها و رفتارهای پرخطر، مدیریت دسترسی پیشرفته، و اطمینان از وجود سیاست‌های پشتیبان و بازیابی کافی تمرکز دارند.

proofpoint , عملکرد , microsoft , شناسایی , می‌کند , بردار , حمله , جدید , مبتنی