Microsoft OneDrive může představovat hrozbu, k dispozici je patch

Podle výzkumu provedeného organizací SafeBreach může být oblíbená aplikace Microsoft OneDrive zranitelná vůči útokům. Závěry výzkumu byly prezentovány na nedávné konferenci Black Hat Orem Yairem, expertem společnosti SafeBreach.

Or Yair ukázal, jak mohou aktéři hrozeb využít platformu cloudového úložiště k ransomwarovému útoku. Problém spočívá v tom, že služba OneDrive má v zařízeních se systémem Windows nainstalovanou aplikaci, která vypadá jako složka, k níž mohou uživatelé přistupovat lokálně prostřednictvím průzkumníka souborů, stejně jako k jakékoli jiné složce. Aplikace také automaticky synchronizuje všechny soubory uložené v této složce s cloudem.

Aplikace také ukládá všechny uživatelské protokoly do jediného adresáře. Tyto protokoly obsahují tokeny relací, které Yair dokázal vytáhnout z adresářů služby OneDrive a vytvořit zkratky vedoucí do oblastí mimo vlastní adresář OneDrive. Jinými slovy, získal přístup k souborům uloženým lokálně v cílovém koncovém bodě. Pak už stačilo útok dokončit zašifrováním souborů.

Alarmující je také skutečnost, že mnoho populárních nástrojů pro detekci kybernetických hrozeb (EDR) tento útok nepoznalo. V testech neuspěly produkty jako CyberReason, Microsoft Defender for Endpoint, CrowdStrike Falcon a Palo Alto Cortex XDR. Ačkoli nástroj SentinelOne útok detekoval, nezastavil ho, jelikož aplikace OneDrive byla na whitelistu povolených aplikací.

Jako reakce na zjištěnou zranitelnost vydal Microsoft záplatu a kyberbezpečnostní společnosti uvedené výše aktualizovaly své EDR nástroje. Pro úspěšné využití zranitelnosti by byl třeba fyzický přístup k cílovému zařízení, což jeho využití v praxi také omezuje.

V každém případě ale zjištění zdůrazňuje význam průběžného monitoringu a aktualizace softwarových řešení v oblasti kybernetické bezpečnosti.

Zdroj: Techradar.com, TheRegister.com