Microsoft OneDrive, uno de los servicios de copia de seguridad en la nube más populares porque te viene de serie en Windows; podría suponer una grave amenaza para la seguridad de una empresa. En su presentación en la reciente conferencia Black Hat, el experto de SafeBreach Or Yair mostró cómo los actores de amenazas podrían aprovechar la plataforma de almacenamiento en la nube para un ataque de ransomware.
El problema parece ser que OneDrive tiene una aplicación que se instala en los dispositivos Windows con el aspecto de una carpeta. Los usuarios pueden acceder a ella localmente a través del explorador de archivos, como a cualquier otra carpeta. La aplicación también sincroniza automáticamente todos los archivos almacenados en esa carpeta con su correspondiente copia en la nube.
OneDrive no parece tener una buena seguridad, especialmente para empresas
La aplicación también almacena todos los registros de usuario en un único directorio. Estos registros contienen tokens de sesión que un cracker puede extraer de los directorios de OneDrive y con ello crear uniones que llevan a áreas fuera del propio directorio de OneDrive. Con ello se tiene acceso a los archivos almacenados localmente en el endpoint de destino.
A partir de ahí, todo lo que se necesita para envolver el ataque, fue cifrar los archivos. Incluso los almacenados en OneDrive, que actúan como copia de seguridad en la sombra, fueron eliminados. Es debido a un fallo encontrado en la aplicación para Android de OneDrive. Una vez que la aplicación ha terminado, todo lo que la víctima tiene son copias de seguridad cifradas de los archivos cifrados. Una forma de sufrir un ransomware y no poder recuperar los datos.
La mayoría de las herramientas de detección y respuesta de puntos finales no pudieron detectar la aplicación maliciosa. Y como no ha habído código malicioso añadido en ninguna parte, tampoco pudieron marcarla como ransomware o malware. CyberReason, Microsoft Defender for Endpoint, CrowdStrike Falcon y Palo Alto Cortex XDR no superaron la prueba. El programa SentinelOne detectó el ataque. pero no lo detuvo porque OneDrive se añadió a su lista de permitidos.
Para solucionar el problema, Microsoft ya ha publicado un parche, y todas las empresas de ciberseguridad antes mencionadas han parcheado sus EDR. Pero para llevar a cabo el ataque, el autor de la amenaza necesita tener acceso al dispositivo objetivo con antelación. Esto es que si el ordenador no está infectado, no habría problemas, pero cuando un agente malicioso consigue acceso, puede ejecutar el ataque.
Fuente: TechRadar
