Las herramientas de Microsoft vuelven a exhibir carencias en ciberseguridad una vez más. Hace unos días On Yair, investigador de la firma Safe Breach, expuso en la conferencia de seguridad Black Hat, en Las Vegas, como OneDrive se puede utilizar como un ransomware para cifrar la mayoría de archivos en una máquina de destino sin opción a recuperación.
Esto resultaría así porque tanto Windows como los programas de detección y respuesta (EDR) de punto final confían en el programa intrinsecamente.
Microsoft promociona OneDrive como un 'refugio contra el ransomware' y recomienda almacenar los archivos importantes en su servicio.
El experto detalla cómo cuando comenzó su investigación quería crear un ransomware que resultara totalmente indetectable por diseño. Entonces pensó que necesitaría un programa de agente doble.
Los agentes locales de almacenamiento en la nube y servicios de sincronización, como Dropbox, Google Drive o iCloud serían buenos candidatos, según Yair. Permiten cifrar los archivos en la nube que luego se reflejan en la máquina de destino.
Para atacar una máquina objetivo primero es necesario ingresar a la cuenta de OneDrive del usuario objetivo. Pero esto le resultó más sencillo de lo esperado, mediante su token de acceso en los registros. Estos se puden descifrar con un programa que se encuentra en GitHub.
Una vez dentro se puede crear un ransomware sin código que ni siquiera es ejecutado en el equipo de la víctima.
Eludiendo los mecanismos anti-ransomware
OneDrive mantiene un mínimo de 500 versiones anteriores de cada archivo que ha manejado, incluso aquellos que se han movido a la Papelera de reciclaje. Esa característica sirve para que las víctimas de ransomware puedan recuperar archivos rápidamente.
Para complicar la recuperación, Yair tuvo que mover todos los archivos cifrados en OneDrive a la Papelera de reciclaje, vaciar esta y luego volver a crear los archivos cifrados en OneDrive. El investigador descubrió que eso no era posible con OneDrive en Windows, pero pudo lograrlo con el cliente OneDrive para Android, según se hace eco SC Magazine.
Ese procedimiento hace que la recuperación de archivos de OneDrive sea imposible. Sin embargo, Yair tuvo que lidiar con otro mecanismo anti-ransomware, este en la máquina de destino: instantáneas. Si hay espacio en el disco, Windows automáticamente hace copias ocultas de cada archivo para ayudar en la recuperación del ransomware.
Yair descubrió que podía aprovechar Microsoft SharePoint para controlar la unidad de almacenamiento de la víctima y eliminar instantáneas en la línea de comandos. La víctima tiene que ser un administrador para que esto funcione, pero Yair lo solventó explotando los controles de acceso de los usuarios.
La compañía de Redmond ya ha parcheado OneDrive para que el ataque no funcione en las versiones de cliente 23.061.0319.0003, 23.101.0514.0001 y posteriores.