Una funcionalidad catalogada como «potencialmente peligrosa» ha sido descubierta recientemente en Office 365. Dicha funcionalidad podría permitir a los autores de amenazas cifrar los archivos alojados en la nube y hacerlos irrecuperables sin una solución de copia de seguridad dedicada o una clave de descifrado.
Los investigadores de ciberseguridad de Proofpoint afirman que la función «AutoSave», que guarda automáticamente en la nube los documentos en los que se está trabajando, puede ser objeto de abuso por parte de la falla. Como su nombre indica, es una herramienta de autoguardado de archivos y datos. Los autores, colaboradores y propietarios de los archivos pueden acceder más tarde a estas versiones antiguas, dándoles una ventana de oportunidad en caso de un ataque de ransomware.
Office 365 podría abrir la puerta a ransomware
Pero si un actor de la amenaza obtiene acceso a la nube de la víctima, puede limitar el número de autoguardados a sólo uno, o activar la función de autoguardado 500 veces, que es el máximo de la herramienta. Auqnue esto último no se ve como algo factible, según Proofpoint.
Dicen que es poco probable que se vea en la práctica el cifrado de archivos más de 500 veces. Requiere más scripts y más recursos de la máquina, a la vez que hace que su operación sea más fácil de detectar.
Pero si se da uno de esos casos, sobre todo el primero, la plataforma de colaboración dejará de hacer guardados después de eso. Si el atacante lo encriptara en ese momento, la víctima no tendría otra opción que volver a una copia de seguridad antigua, o pagar por una clave de descifrado.
Proofpoint cree que este es un punto débil de la herramienta. Pero Microsoft no está de acuerdo. Después de ser informado de los hallazgos, Microsoft dijo que la herramienta funciona como estaba previsto y añadió que si realmente ocurriera algo así, su servicio de atención al cliente puede restaurar archivos de hasta 14 días de antigüedad. Pero Proofpoint, por su parte, afirma que ha probado este método y que no funciona.
Para mantener tus endpoints a salvo del ransomware y el malware, nos recomiendan mantener siempre actualizado tanto el software como el hardware, además de configurar fuertes protecciones de ciberseguridad y firewalls. No falta el enseñar a los usuarios sobre los peligros del phishing y otras formas de ingeniería social que usan crackers para conseguir acceso a información y archivos valiosos.
Fuente: TechRadar