Черная шляпа Согласно исследованию, проведенному на этой неделе, в операционной системе Microsoft для настольных ПК обнаружена довольно серьезная уязвимость программы-вымогателя. Его практически невозможно обнаружить, он использует полностью законный рабочий процесс для шифрования файлов и предустановлен во всех новых системах Windows: OneDrive.
Согласно выводам представлен исследователем безопасности SafeBreach Ором Яиром сегодня в Черная шляпаOneDrive был готовым и добровольным двойным агентом, которого он мог настроить против систем, предназначенных для синхронизации облачного хранилища и якобы защищающих его.
«Microsoft описывает OneDrive как убежище от программ-вымогателей, — сказал Яир. Регистр. «OneDrive используется для восстановления данных программ-вымогателей, и Microsoft даже рекомендует пользователям хранить важные файлы в OneDrive, потому что они лучше защищены в облаке».
Тем не менее, как продемонстрировал Яир во время своего выступления, серия ошибок, допущенных как Microsoft, так и сторонними поставщиками, показала, что OneDrive является программным обеспечением, которое легко обмануть, стремясь зашифровать все, к чему оно может подключиться.
Где оставили токены сеанса?
OneDrive, для тех, кто не знаком с ним, является одновременно облачным хранилищем Microsoft и локально работающим приложением, установленным на устройствах Windows для синхронизации файлов между каталогом OneDrive на указанном компьютере и удаленными серверами Microsoft.
Таким образом, первое, что нужно сделать, чтобы превратить OneDrive в двойного агента, — это захватить чью-то учетную запись — задача, по словам Яира, была относительно легкой, когда ему удалось добиться первоначальной компрометации машины Windows.
Оказывается, OneDrive хранит все свои файлы журналов в каталоге для вошедшего в систему пользователя. Эти журналы, в свою очередь, содержат маркеры сеанса, которые, по словам Яира, он смог извлечь из файла журнала после того, как получил копию и проанализировал ее. С украденным токеном Яир смог приступить к работе.
Выйти из собственных каталогов OneDrive было достаточно просто — Яир сказал, что, хотя символические ссылки могут быть созданы только администратором (которым Яир не работал, как во время своих тестов), соединения могут создаваться кем угодно, но они могут указывать только на каталог. , а не конкретный файл.
«Как только мы создаем соединения с областями за пределами собственного каталога OneDrive, мы достигаем ситуации, когда он может создавать, изменять или удалять файлы на локальном компьютере», — сказал Яир.
OneDrive включает в себя функции, которые не позволяют программам-вымогателям уничтожать резервные копии, обеспечивая наличие теневых копий файлов, которые могут быть восстановлены в случае атаки, хотя Яир говорит, что он также смог подорвать эти функции, а приложение OneDrive для Android является слабым местом в тот экземпляр.
API, используемый приложением, отличается от других приложений OneDrive, и эти отличия позволили Яиру удалить исходные копии файлов, которые он зашифровал таким образом, что их нельзя было восстановить, оставив жертве ничего, кроме зашифрованных резервных копий зашифрованных файлов. .
EDR не может спасти вас здесь
Первый ответ, который может возникнуть на такую угрозу программ-вымогателей — когда законное приложение внезапно станет мошенническим и начнет шифровать файлы на всем устройстве — понятен: пусть с этим справится программное обеспечение для обнаружения конечных точек и реагирования.
Об этом …
Программное обеспечение EDR, по словам Яира, должно обнаруживать такие действия, особенно удаление теневых копий, хотя программное обеспечение от нескольких крупных корпоративных поставщиков не смогло обнаружить среди них шпиона OneDrive. Утверждается, что CyberReason не обнаруживает вандализм, равно как и Microsoft Defender for Endpoint, CrowdStrike Falcon или Palo Alto Cortex XDR.
Программное обеспечение SentinelOne перехватило его и подняло флаг о возможности атаки программы-вымогателя. К сожалению, это все еще не предотвратило удаление теневых копий, поскольку локальный исполняемый файл OneDrive находится в списке разрешенных.
Поскольку это доверенное приложение в нескольких EDR, OneDrive не подает сигналы тревоги, когда изменяет файлы-приманки, использует известные и надежные расширения файлов для зашифрованных файлов и может выполнять действия в папках с другими ограничениями. Поскольку на целевой машине не установлено фактическое вредоносное ПО, нет и статической сигнатуры для обнаружения.
Таким образом, если злоумышленнику удастся захватить рабочую станцию Windows, он сможет реально зашифровать значительную часть машины с помощью законного программного обеспечения. Есть ли способ защититься от таких атак?
Microsoft, по крайней мере, выпустила исправление для решения проблемы, обнаруженной Яиром, как нам сказали, в то время как Crowdstrike, CyberReason и Palo Alto исправили свои EDR.
В противном случае приложения должны перестать доверять другим процессам по умолчанию, даже если они созданы Microsoft, сказал нам Яир. «Если другого выхода нет, то поставщики средств безопасности должны понимать, может ли злоумышленник получить контроль над процессами. [like OneDrive]как обнаружить это и остановить до того, как это произойдет».
2023-08-10 21:22:00
1691714778
#Microsoft #OneDrive #готовый #нетерпеливый #двойной #агент #программвымогателей #Реестр
