Une nouvelle recherche menée par SafeBreach met en lumière le fait que Microsoft OneDrive pourrait constituer une menace sérieuse pour votre entreprise.
Lors de la récente conférence Black Hat, l’expert deSafeBreach, Or Yair, a démontré comment les acteurs malveillants pourraient exploiter cette plateforme de stockage en ligne pour mener une attaque de rançongiciel.
Une vulnérabilité dans l’application OneDrive
Le problème réside dans l’application OneDrive installée sur les appareils Windows. Elle ressemble à un dossier auquel les utilisateurs peuvent accéder localement via l’explorateur de fichiers, comme n’importe quel autre dossier. L’application synchronise également automatiquement tous les fichiers stockés dans ce dossier avec leur équivalent dans le cloud.
Extraction des jetons de session
L’application stocke également tous les journaux d’utilisateurs dans un seul répertoire. Ces journaux contiennent des jetons de session que Yair a réussi à extraire des répertoires OneDrive et à créer des jonctions menant à des zones en dehors du répertoire OneDrive lui-même. En d’autres termes, il a pu accéder aux fichiers stockés localement sur l’appareil cible.
À partir de là, il ne restait plus qu’à crypter les fichiers. Même ceux stockés dans OneDrive, qui agissent comme une sauvegarde, ont été supprimés grâce à une faille présente dans l’application Android OneDrive. Une fois l’attaque terminée, la victime ne dispose plus que de sauvegardes cryptées de fichiers cryptés.
Pour aggraver les choses, la plupart des outils de détection et de réponse aux terminaux (EDR) n’ont pas pu repérer l’application de confiance devenue malveillante. Et étant donné qu’aucun code malveillant n’a été ajouté nulle part, ils ne pouvaient pas le signaler comme un rançongiciel ou un logiciel malveillant. Les chercheurs affirment que CyberReason, Microsoft Defender for Endpoint, CrowdStrike Falcon et Palo Alto Cortex XDR ont tous échoué au test. Le programme de SentinelOne a détecté l’attaque, mais ne l’a pas arrêtée car OneDrive avait été ajouté à sa liste d’autorisations.
Correction du problème
Pour remédier à ce problème, Microsoft a déjà publié un correctif, et les entreprises de cybersécurité mentionnées précédemment ont toutes corrigé leurs EDR.
La bonne nouvelle, c’est que pour mener cette attaque, l’acteur malveillant doit avoir préalablement accès à l’appareil cible. Assurez-vous donc de ne pas infecter vos appareils avec des logiciels malveillants, et vous serez parfaitement en sécurité.
