Недавние исследования выявили угрозу для пользователей Microsoft – уязвимость в приложении OneDrive, которая может стать лазейкой для вымогательского вируса.
OneDrive – один из самых известных продуктов Microsoft, позволяющий синхронизировать файлы между локальным устройством и облачными серверами. С точки зрения корпорации, это безопасный способ хранения информации: Microsoft активно рекомендует перемещать важные документы в OneDrive, обещая высокий уровень их защиты.
Однако недавно Ор Яир, специалист по безопасности из SafeBreach, опубликовалрезультаты своего исследования на конференции Black Hat, согласно которым OneDrive может быть использован злоумышленниками в качестве инструмента для кибератак.
По словам Яра, достаточно скомпрометировать аккаунт одного пользователя. Само приложение хранит логи сессий в отдельной папке, в которой содержатся и сессионные токены. Эти токены облегчат несанкционированный доступ.
Затем, используя возможности OneDrive по управлению файлами, хакеру будет нетрудно создавать, изменять или удалять данные в обход системам защиты.
Ситуация усугубляется тем, что большинство современных систем обнаружения и реагирования на инциденты (EDR) не воспринимают действия OneDrive как угрозу. Например, программы от ведущих разработчиков, таких как CyberReason, Microsoft Defender for Endpoint, в подобной ситуации окажутся неэффективными. Только SentinelOne выявляет аномальное поведение, но даже он не всегда успешно блокирует вредоносные действия.
В Microsoft отреагировали быстро: специалисты уже выпустили необходимые исправления для OneDrive, и многие компании-разработчики обновили свои EDR-системы. Но ситуация показала, что даже доверенные приложения могут стать источником угрозы, что требует пересмотра подходов к безопасности со стороны компании.