Erpressungssoftware wird für Cloud-Dienste wie OneDrive zum Problem

Cyberkriminelle machen jetzt Jagd auf SharePoint- und One­Drive-Kon­ten, um dort Daten zu verschlüsseln und die Nut­zer zu er­pres­sen. Das ist zwar besonders "lukrativ" bei Fir­men, kann aber auch Pri­vat­per­so­nen treffen. Darauf machen jetzt die Sicherheitsforscher von Proofpoint aufmerksam. Die Forscher haben in der zurückliegenden Woche eine Schwachstelle einer Microsoft 365-Funktion gezeigt, die für Hacker neue Cloud-basierte Angriffsvektoren eröffnen.

Die Ergebnisse von Proofpoint erklären, wie böswillige Akteure grundlegende Funktionen in den Anwendungen nutzen können, um die Dateien zu verschlüsseln und Lösegeld zu verlangen. Diese Sicherheitslücke bietet Hackern eine weitere Möglichkeit, Cloud-basierte Daten und Infrastrukturen anzugreifen. Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im InternetOft gehört - nie genutzt: Schutzmaßnahmen im Internet

Alles beginnt mit dem Zugriff auf die Cloud

Die Schwachstelle beruht auf einer vierstufigen Angriffskette, die mit der Kompromittierung der Identität eines Nutzers beginnt. Benutzerkonten können beispielsweise durch Brute-Force- oder Phishing-Angriffe, unsachgemäße Autorisierung über OAuth-Apps von Drittanbietern oder gekaperte Benutzersitzungen kompromittiert werden.

Der Angreifer verwendet dann die Anmeldeinformationen der Person, um auf deren SharePoint- oder OneDrive-Konten zuzugreifen. Dort wird die Versionierungseinstellung geändert, um dann die Dateien mehrfach zu verschlüsseln, sodass keine unverschlüsselte Version der kompromittierten Dateien zurückbleibt. Sobald die Dateien verschlüsselt sind, kann nur noch mit den richtigen Schlüsseln auf sie zugegriffen werden - und das kann teuer werden.

Dokumentänderungen protokolliert

Versionierung ist eine Funktion in SharePoint und OneDrive, die für jede Datei einen Datensatz erstellt, in dem alle Dokumentänderungen und die Benutzer, die diese Änderungen vorgenommen haben, protokolliert werden.

Benutzer mit den entsprechenden Berechtigungen können frühere Versionen des Dokuments anzeigen, löschen oder wiederherstellen. Die Anzahl der aufbewahrten Versionen wird durch die Versionseinstellungen in der Anwendung bestimmt. Diese Versionseinstellungen erfordern keine Administratorrechte und sind daher für die Hacker leicht zu ändern.

Mehr Änderungen als gespeicherte Versionen

Das Ändern der Anzahl der aufbewahrten Dokumentversionen ist der Schlüssel zu diesem Exploit. Der Angreifer konfiguriert die Versionseinstellungen so, dass nur eine gewünschte Anzahl von Versionen pro Datei beibehalten wird. Die Dateien werden dann öfter verschlüsselt als die Anzahl der beibehaltenen Versionen, sodass keine wiederherstellbaren gesicherten Versionen übrig bleiben.

Die Verschlüsselung ist nicht die einzige Möglichkeit, wie die Versionierung ausgenutzt werden kann. Eine andere Option ist es, Dateien einfach so lange immer wieder zu ändern, sodass keine Originaldatei mehr zurückbleibt. In allen Fällen haben nur die Angreifer Zugriff auf ein Original und versuchen die Opfer um Lösegeldzahlungen zu erpressen.

Personal Vault: OneDrive-Extraschutz

Eine Empfehlung, die vor dem Verlust der Daten durch Verschlüsselung durch Fremde schützt, ist der Personal Vault, also der persönliche Tresor in OneDrive. In diesen Tresor können alle Daten gepackt werden, die in der OneDrive-Cloud liegen. Der Bereich ist gesondert geschützt.

Der Nutzer erhält die Möglichkeit, seine Daten per sicherer Authentifizierungsmethode "in den Tresor zu schließen". Zugriff bekommt man dann nur noch per Authentifizierung zum Beispiel per Windows Hello, per Fingerabdruck oder per Zwei-Wege-Authentifizierung mit einem Code, der per E-Mail oder SMS versendet wird. Das macht den Zugriff durch Dritte sehr viel schwieriger, aber nicht unmöglich. Den Personal Vault gibt es allerdings nur in Verbindung mit einem kostenpflichtigen Microsoft 365-Abo. Der persönliche Tresor ist für OneDrive Home- und Personal-Pläne verfügbar, aber nicht für OneDrive for Business oder Geschäfts-, Schul-, und Unikonten.

Siehe auch: Sicherheit, Sicherheitslücke, Leak, Hacker, Security, Malware, Angriff, Hack, Bug, Trojaner, Virus, Kriminalität, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Ransomware, Hacking, Spam, Erpressung, Hackerangriff, Phishing, Internetkriminalität, Warnung, Ddos, Darknet, Hacken, Hacker Angriffe, Hacker Angriff, Ransom, Attack, Hacks, Viren, Gehackt, Error, Crime, Schädling, Russische Hacker, China Hacker, Adware, Security Report, Malware Warnung, Security Bulletin, Promi-Hacker, Android Malware, Phisher, Secure, Breaking Sicherheit, Sicherheitslücke, Leak, Hacker, Security, Malware, Angriff, Hack, Bug, Trojaner, Virus, Kriminalität, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Ransomware, Hacking, Spam, Erpressung, Hackerangriff, Phishing, Internetkriminalität, Warnung, Ddos, Darknet, Hacken, Hacker Angriffe, Hacker Angriff, Ransom, Attack, Hacks, Viren, Gehackt, Error, Crime, Schädling, Russische Hacker, China Hacker, Adware, Security Report, Malware Warnung, Security Bulletin, Promi-Hacker, Android Malware, Phisher, Secure, Breaking
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!