Dati degli utenti a rischio: Microsoft Onedrive come strumento per gli attacchi ransomware

Date:

Share post:

Alessandro Manzoni
Alessandro Manzoni
"Lifelong beer expert. General travel enthusiast. Social media enthusiast. Zombie expert. Communicator."

Il ricercatore di sicurezza Safebreach Or Yair è riuscito a dirottare l’app Microsoft Onedrive per lanciare attacchi ransomware. Come un ricercatore tronco d’albero Più chiaro, Microsoft in realtà descrive il servizio di archiviazione cloud integrato in Windows come Protezione da ransomwarePerché gli utenti di Onedrive sono generalmente in grado di recuperare i file crittografati dagli aggressori.






Microsoft consiglia agli utenti di archiviare file importanti in Onedrive perché sono protetti meglio nel cloud.Secondo Yair. Tuttavia, il ricercatore di sicurezza ha avuto successo Trasforma Onedrive in un doppio agente.

Microsoft archivia i token di sessione nei file di registro

Innanzitutto, il ricercatore ha violato l’account Microsoft associato al sistema di destinazione. Questa non è stata una grande sfida, poiché Onedrive salva i file di registro contenenti token di sessione validi in una directory per l’utente registrato.

Yair è stato quindi in grado di connettersi alle aree di archiviazione al di fuori della directory onedrive utilizzando fork. E così ha raggiunto Uno stato in cui i file possono essere creati, modificati o eliminati su un computer locale.. Di conseguenza, utilizzando qualsiasi software di crittografia, i dati sul sistema di destinazione possono essere resi inaccessibili al suo proprietario.




Il ricercatore è stato anche in grado di eliminare i backup creati dal servizio di archiviazione cloud di Microsoft, attraverso il quale un utente normalmente ripristinerebbe i file originali non crittografati, attraverso una vulnerabilità nell’app Android Onedrive. Di conseguenza, gli utenti del sistema Windows attaccato hanno trovato solo file crittografati.

Le attuali soluzioni di sicurezza non forniscono alcuna protezione

Poiché molte soluzioni di sicurezza popolari (EDR: Endpoint Detection and Response) hanno finora classificato Onedrive come un’applicazione attendibile, non offrivano alcuna protezione efficace contro un attacco di questo tipo. Poiché sul computer di destinazione non era installato alcun malware effettivo, non esisteva nemmeno una firma coerente che l’antivirus potesse riconoscere. Si dice che solo il software di Sentinelone abbia identificato l’attacco. Tuttavia, anche questo non ha impedito i processi, ma ha potuto solo avvisare l’utente di essi.

Si dice che Microsoft e i fornitori di diverse soluzioni EDR abbiano nel frattempo rilasciato aggiornamenti per contenere l’attacco descritto. Secondo Yair, è anche importante che le moderne soluzioni di sicurezza non si fidino ciecamente di alcuna applicazione, anche se sembra provenire dalla stessa Microsoft.


Related articles

Disney+ rimuove Dolby Vision e contenuti 3D in Italia: funzionalità premium limitate per molti utenti europei

Nuova stretta sulle funzionalità avanzate della piattaforma streaming Disney+ ha nuovamente limitato alcune delle sue caratteristiche più avanzate in...

Crisi delle RAM: anche Apple valuta aumenti di prezzo, Tim Cook parla di situazione “insostenibile”

Dopo anni in cui è riuscita ad assorbire l’aumento dei costi dei componenti senza trasferirli ai consumatori, Apple...

Il governo italiano alle prese con il nodo della tassa sui pacchi extra UE

Dal 1° luglio rischio doppio prelievo sugli acquisti online provenienti da Paesi extraeuropei A poche settimane dall’entrata in vigore...

Tempesta solare “cannibale” verso la Terra: possibile aurora boreale visibile anche dall’Italia

Una nuova e intensa attività del Sole potrebbe regalare uno spettacolo raro anche nei cieli italiani. Nella notte...