Las herramientas de Microsoft suelen ser protagonistas de numerosas vulnerabilidades de seguridad. Por eso, esta noticia quizás no sorprenda a muchos.
Investigadores de seguridad han alertado de que Office 365 cuenta con una funcionalidad que permitiría a los actores de amenazas secuestrar las cuentas de esta suite para cifrar los archivos almacenados en los servicios de SharePoint y OneDrive, usados generalmente por las empresas para colaboración en la nube, la gestión de documentos y el almacenamiento.
Según se hace eco Bleeping Computer, un ataque de ransomware que se dirigiera a esos servicios podría tener graves consecuencias si las copias de seguridad no están disponibles, lo que llevaría a que los propietarios y grupos de trabajo no pudieran acceder a los datos importantes.
La clave que podría hacer un ciberataque de este tipo exitoso se encontraría en la función de AutoSave o Autoguardado, que hace backups en la nube de archivos anteriores cuando los usuarios hacen ediciones.
Para cifrar archivos de SharePoint y OneDrive el único requisito es comprometer las cuentas de Office 365, lo cual se podría hacer mediante phising o apps OAuth maliciosas. Tras secuestrar una cuenta, los cibermalos tienen la posibilidad de usar las API de Microsoft y los scripts de PowerShell para automatizar acciones maliciosas en listas de documentos grandes.
Un truco para dificultar la recuperación es reducir el límite y cifrar todos los archivos que superen dicho límite. Para ello no se requieren privilegios de administrador y es factible llevarlo a cabo desde cualquier cuenta secuestrada. Si un límite de versión de archivo se establece en 1 el atacante puede cifrar o editar el archivo dos veces y así el documento original deja de estar disponible o restaurarse.
Los ciberdelincuentes también tienen la opción de robar los documentos originales antes de cifrarlos para ejercer más presión sobre la víctima y amenazar con filtrarlos.
Microsoft le quita hierro al asunto
Como suele ser común, Proofpoint informó a Microsoft de esta posible vulnerabilidad, sin embargo, desde la firma de Redmond sostienen que la capacidad de configuración es la funcionalidad prevista.
Por otro lado, desde Microsoft comentan que en casos de pérdida inesperada los agentes de soporte podrían ayudar con la recuperación hasta 14 días después del incidente. No obstante, Proofpoint habría intentado restaurar archivos usando dicho método y no lo consiguió.