Tijdens Black Hat USA te Las Vegas onthulde een onderzoeker dat Microsoft OneDrive vrij eenvoudig te kraken is. Daarnaast zijn enkele preventiemiddelen van de applicatie te omzeilen. Een kwaadwillende die een systeem al gecompromitteerd heeft, kan met bestanden knoeien en ze verwijderen.
Security-onderzoeker Or Yair van SafeBreach omschreef dat het ransomware-landschap alleen maar ruiger is geworden. In maart 2023 was er een recordaantal incidenten op dit front: 459. Het is een extra indicatie dat organisaties endpoint-security hoog in het vaandel moeten hebben. EDR-tools zou lokale data moeten beschermen om te voorkomen dat data versleuteld, verwijderd of geëxfiltreerd wordt. Ook software van Microsoft zelf probeert gegevens veilig te stellen, maar de realiteit blijkt anders.
Yair beweert dat OneDrive een “ingebouwde dubbelspion” is omdat de ransomware-preventiemiddelen juist ingezet kunnen worden als ransomware. Het kan data versleutelen zonder dat een EDR ingrijpt; sommige EDR-oplossingen zouden zelfs kwaadaardige code toestaan. OneDrive is zowel een lokale applicatie als een cloudopslaglocatie, dat bestanden op beide plekken synchroniseert. De processen hiervan zijn ’trusted’ door security-applicaties.
Eenvoudige accountkaping
Het kapen van de OneDrive-directory is eenvoudig zodra een systeem overgenomen is door een hacker. De uitgebreide data logging van OneDrive staat een aanvaller toe om een session token te stelen, waarna men vanuit een ander systeem bij de OneDrive-bestanden terecht kan. Het is daarna eveneens relatief eenvoudig om uit deze directory te komen op een lokaal systeem.
De applicatie van Microsoft beschermt tegen ransomware door middel van specifieke backups (‘shadow copies’), maar deze is te omzeilen wegens een kwetsbaarheid in de Android-versie. Yair stelt dat de API voor dat OS afwijkt van de Windows-variant, waardoor hij kon achterhalen waar de ‘shadow copies’ van bestanden stonden. Daardoor zou een aanvaller een bestand eerst kunnen verwijderen op OneDrive, om vervolgens de backups te versleutelen. Zo eindigt het slachtoffer met enkel de geëncrypeerde bestanden.
Al wel actie ondernomen door Microsoft, maar probleem ligt dieper
Microsoft zou al een fix hebben doorgevoerd, zegt Yair. Ook hebben CrowdStrike, Cybereason en Palo Alto hun EDR-oplossingen gepatcht. Gebruikers hoeven momenteel dus niets te doen behalve de gebruikelijke security-stappen door te lopen.
Daar zit overigens wel de eindboodschap bij Yair voor security-partijen: vertrouw zo min mogelijk applicaties. Zelfs Microsofts eigen processen kunnen klaarblijkelijk voor gevaren zorgen, ook al werd aangenomen dat er uitgebreide ransomware-preventiemiddelen in zitten. Zero-trust blijkt zo maar weer een breed begrip dat geldt voor alle lagen van de IT-infrastructuur.
Lees ook: Zero Trust moet doorgetrokken worden naar de OT-omgeving
19 uur geleden
