Ranljivost v storitvi OneDrive: Izkoriščanje tihega šifriranja
Po raziskavi, objavljeni ta teden, obstaja v Microsoftovem operacijskem sistemu za namizne računalnike pomembna ranljivost izsiljevalske programske opreme. Te ranljivosti je skoraj nemogoče odkriti. Za šifriranje datotek uporablja odobren postopek. V nove sisteme Windows je predhodno nameščena prek storitve OneDrive.
Rezultate je razkril raziskovalec Or Yair iz podjetja SafeBreach. To se je zgodilo med predstavitvijo na konferenci Black Hat. OneDrive je nevede postal sostorilec, zmanipuliran v nasprotju s svojim predvidenim namenom sinhronizacije sistema in varnosti shrambe v oblaku.
Microsoft je OneDrive predstavljal kot zaščito pred izsiljevalsko programsko opremo. “OneDrive se uporablja za obnovitev podatkov iz izsiljevalske programske opreme. Microsoft spodbuja uporabnike, naj pomembne datoteke shranjujejo v OneDrive zaradi boljše varnosti v oblaku,” je Yair povedal za The Register.
Vendar pa je Yair pokazal na napake Microsofta in prodajalcev. Zaradi njih je bil OneDrive ranljiv in pripravljen šifrirati ob vzpostavitvi povezave.
OneDrive je Microsoftova storitev za shranjevanje podatkov na daljavo. Vključuje lokalno aplikacijo, ki se uporablja v napravah Windows. Ta aplikacija sinhronizira datoteke med imenikom OneDrive v napravi in Microsoftovimi oddaljenimi strežniki.
V procesu spreminjanja storitve OneDrive v orodje za nepooblaščen dostop je glavni korak v tem, da si posameznik prisvoji svoj račun. Po Yairovih besedah je to dosegljiv cilj, ko je uspešno izveden začetni vdor v napravo Windows.
Ugotovljeno je bilo, da OneDrive vse dnevniške datoteke, ki se nanašajo na overjenega uporabnika, hrani v posebnem imeniku. Te dnevniške datoteke vključujejo tudi žetone sej. Yair je potrdil pridobitev dnevniške datoteke. Pridobil je žeton in s tem omogočil nepooblaščene dejavnosti.
Manipulacija datotek v OneDrive
Naloga navigacije zunaj zasebnih imenikov OneDrive naj bi bila razmeroma preprosta. Yair je pojasnil razliko. Za simbolične povezave so potrebne skrbniške pravice, ki jih on ni imel. Povezave pa delujejo za vse uporabnike, vendar le za imenike, ne pa tudi za datoteke.
Yair je pojasnil več. “Ko so povezave ustvarjene v regije zunaj imenikov OneDrive, nastane situacija, v kateri je mogoče manipulirati z lokalnimi datotekami.”
OneDrive ima zaščitne ukrepe proti izsiljevalski programski opremi. Ohranja senčne kopije datotek za obnovitev po napadih. Yair je razkril svojo spretnost, s katero je zaobšel zaščitne ukrepe. Kot ranljivega je izpostavil Androidov OneDrive.
API aplikacije za Android se razlikuje od drugih aplikacij OneDrive. Te razlike so Yairu pomagale trajno izbrisati šifrirane datoteke. Pridobitev je bila zaradi tega nemogoča. Posledično so prizadeti stranki ostale le šifrirane varnostne kopije že šifriranih datotek.
Prvi odziv na izsiljevalsko programsko opremo je pogosto prenos na programsko opremo EDR. To velja zlasti za nepričakovane zlonamerne dejavnosti, kot je na primer škodljiva uporaba zakonite aplikacije, ki zašifrira datoteke. Glede na okoliščine je to razumen pristop.
V zvezi s to zadevo…
Po Yairovih besedah bi morala programska oprema EDR zaznati takšno vedenje. Prepoznati mora odpravo kopije v senci. Vendar je programska oprema glavnih proizvajalcev spregledala vohunjenje za OneDrive. Niti CyberReason niti Microsoft Defender for Endpoint, CrowdStrike Falcon ali Palo Alto Cortex XDR niso mogli zaznati tega prekrška, kot se je trdilo.
Po drugi strani pa je programska oprema SentinelOne prepoznala to dejavnost in posledično opozorila na možnost napada z izsiljevalsko programsko opremo. Žal to ni preprečilo izbrisa kopij v senci, saj je lokalni izvršilni program OneDrive uvrščen na seznam dovoljenj.
Sistem EDR zaupa storitvi OneDrive. Opozoril za spremembe datotek z vabo ni bilo. Za šifriranje uporablja priznane razširitve in deluje v omejenih imenikih. Ker v ciljnem računalniku ni konkretne zlonamerne programske opreme, ni statičnega podpisa za odkrivanje.
Napadalec, ki zasege delovno postajo z operacijskim sistemom Windows, lahko z uporabo originalne programske opreme zašifrira del te postaje. Ta rezultat je verjeten, če je prevzem uspešen. Kakšna so torej sredstva za zaščito pred takšnimi napadi?
Sporočeno je bilo, da je Microsoft objavil popravek za odpravo težave, ki jo je odkril Yair, Crowdstrike, CyberReason in Palo Alto pa so spremenili svoje sisteme EDR.
Druga možnost je, da aplikacije prenehajo privzeto zaupati drugim procesom – tudi če so to Microsoftovi izdelki, kot nam je sporočil Yair. Nadalje je izjavil, da morajo ponudniki varnostnih storitev, če ni drugih možnosti, ugotoviti, ali lahko napadalec prevzame nadzor nad procesi, kot je OneDrive, ter razviti metodologije za odkrivanje in preprečevanje pred pojavom.
Vir Foto: Pexels