Phát hiện lỗ hổng nguy hiểm trên Microsoft 365

Đình Lượng
21/06/2022 10:00
D

Mới đây, Công ty bảo mật Proofpoint (Mỹ) đã phát hiện một số chức năng trong Office 365 cho phép ransomware mã hóa các tệp được lưu trữ trên Microsoft SharePoint và OneDrive.

Trước đó, Microsoft đã đổi tên gọi từ Office 365 thành Microsoft 365 và bổ sung nhiều tính năng mới cho các ứng dụng quen thuộc như Word, Excel, PowerPoint, Outlook và Skype.

XEM THÊM: Microsoft đổi tên Office 365 thành Microsoft 365, thêm nhiều tính năng mới

Trong thông báo mới nhất của công ty bảo mật Proofpoint, công ty đã phát hiện ra một phần chức năng tiềm ẩn nguy hiểm trong Office 365 hoặc Microsoft 365 cho phép ransomware mã hóa các tệp được lưu trữ trên SharePoint và OneDrive theo cách khiến chúng không thể khôi phục được nếu không có bản sao lưu chuyên dụng hoặc khóa giải mã từ kẻ tấn công.  
 
Proofpoint cho biết, nghiên cứu tập trung vào hai trong số các ứng dụng đám mây doanh nghiệp phổ biến nhất của Microsoft đó là SharePoint Online và OneDrive trong bộ Microsoft 365 và Office 365. Nghiên cứu cho thấy các ransomware có thể nhắm mục tiêu vào dữ liệu của tổ chức trên hạ tầng đám mây, từ đó khởi động các cuộc tấn công vào hạ tầng này.

Các cuộc tấn công ransomware thường có dữ liệu được nhắm mục tiêu theo cách truyền thống trên các thiết bị đầu cuối hoặc ổ đĩa mạng.  

Cách thức ransomware tấn công Microsoft 365

SharePoint và OneDrive là hai ứng dụng trên hạ tầng điện toán đám mây được các tổ chức/ doanh nghiệp sử dụng phổ biến nhất. Sau khi thực hiện tấn công, ransomware sẽ mã hóa các tệp trong tài khoản của người dùng bị xâm phạm. Tương tự như bất kỳ hoạt động ransomware mã hóa nào, các tệp đó chỉ có thể được khôi phục bằng khóa giải mã được cung cấp từ hacker.

Sơ đồ chuỗi tấn công ransomware trên đám mây. Giai đoạn thu thập và tách lọc là duy nhất đối với môi trường Microsoft. Ảnh: Proofpoint.com

Công ty Proofpoint cho biết, các hành động có thể được thực hiện tự động hóa bằng cách sử dụng Microsoft API , tập lệnh giao diện dòng lệnh (CLI) và tập lệnh PowerShell.

Quyền truy cập ban đầu: Hacker có được quyền truy cập vào một hoặc nhiều tài khoản SharePoint Online hoặc OneDrive của người dùng bằng cách xâm phạm hoặc chiếm đoạt danh tính của người dùng.

Tiếp quản & Khám phá Tài khoản: Hacker có quyền truy cập vào bất kỳ tệp nào thuộc sở hữu của người dùng bị xâm phạm hoặc được kiểm soát bởi ứng dụng OAuth (Open with Authentication or Authorization) của bên thứ ba (bao gồm cả tài khoản OneDrive của người dùng).

Thu thập và Lọc: Giảm giới hạn thấp nhất lập phiên bản của tệp. Từ đó, mã hóa tệp nhiều lần hơn giới hạn lập phiên bản (Trong nghiên cứu này giới hạn lập phiên bản mới là 1, thì hacker mã hóa tệp hai lần). Trong một số trường hợp, kẻ tấn công có thể để lại một phần các tệp không mã hóa để tăng hình thức tống tiền với người dùng, đây là một chiến thuật tống tiền phổ biến.

Kiếm tiền: Tất các các tệp (file) đều bị mã hóa, không còn bản gốc trong tài khoản đám mây. Lúc này, Hacker có thể yêu cầu tổ chức đòi tiền chuộc.

Những kẻ tấn công có thể sửa đổi cài đặt danh sách trong vùng chứa bên trong SharePoint, OneDrive

Proofpoint cho biết Microsoft web part lưu trữ nội dung như nhiệm vụ, lịch, sự cố, ảnh, tệp, v.v. trong SharePoint Online. Tài khoản OneDrive chủ yếu được sử dụng để lưu trữ tài liệu. Thư viện tài liệu là thuật ngữ được liên kết nhiều nhất với OneDrive, 

Thư viện tài liệu lớn là một loại danh sách đặc biệt trên trang SharePoint hoặc tài khoản OneDrive nơi tài liệu có thể được tải lên, tạo, cập nhật và cộng tác với các thành viên trong nhóm.

Hacker sẽ sửa đổi cài đặt danh sách trong suốt quá trình xâm nhập, mọi thư viện tài liệu trong SharePoint Online và OneDrive đều có cài đặt người dùng có thể cài đặt cho số lượng phiên bản đã lưu mà chủ sở hữu trang có thể thay đổi, bất kể vai trò khác của họ. Họ không cần phải giữ vai trò quản trị viên hoặc các đặc quyền liên quan. Điều này được tìm thấy trong cài đặt lập phiên bản trong cài đặt danh sách cho từng thư viện tài liệu.

Proofpoint nhận định có hai cách để lạm dụng cơ chế lập phiên bản để đạt được mục đích xấu: thứ nhất, bằng cách tạo quá nhiều phiên bản của một tệp, thứ hai, bằng cách giảm giới hạn phiên bản của thư viện tài liệu. Theo thiết kế trên SharePoint Online, khi bạn giảm giới hạn phiên bản thư viện tài liệu, bất kỳ thay đổi nào đối với các tệp trong thư viện tài liệu sẽ dẫn đến việc các phiên bản cũ trở nên rất khó khôi phục.

Ba cách phổ biến nhất đưuọc haker tấn công Office 365

Proofpoint cho biết ba đường dẫn phổ biến nhất mà hacker sẽ sử dụng để có quyền truy cập vào một hoặc nhiều tài khoản SharePoint Online hoặc OneDrive của người dùng là:

Xâm phạm tài khoản: Haker trực tiếp xâm phạm thông tin đăng nhập của người dùng vào (các) tài khoản đám mây của họ thông qua lừa đảo, tấn công vũ phu và các chiến thuật xâm phạm thông tin đăng nhập khác.

Ứng dụng OAuth của bên thứ ba: Hacker lừa người dùng để ủy quyền cho các ứng dụng OAuth của bên thứ ba với phạm vi ứng dụng để truy cập SharePoint hoặc OneDrive.

Phiên bị xâm nhập: Haker chiếm quyền điều khiển "web session" của người dùng đã đăng nhập hoặc chiếm đoạt mã thông báo API trực tiếp cho SharePoint Online/OneDrive.

Cách bảo mật Office 365

Có một số bước mà Proofpoint khuyến nghị người dùng thực hiện để tăng cường tài khoản Office 365 của họ. Chúng bao gồm các bước bảo mật hệ thống khi xác định ransomware và cập nhật các chính sách khôi phục và sao lưu dữ liệu để giảm thiệt hại trong trường hợp ransomware được phát hiện.

Tốt nhất, bạn hãy sao lưu dữ liệu trên hạ tầng đám mây một cách thường xuyên, đặc biệt là các dữ liệu có yêu cầu bảo mật cao. Proofpoint  khuyến nghị  “Đừng chỉ dựa vào Microsoft để cung cấp các bản sao lưu thông qua việc tạo phiên bản cho các thư viện tài liệu.

Bạn cần làm những việc sau:

  • Tăng các phiên bản có thể phục hồi cho các thư viện tài liệu bị ảnh hưởng trong cài đặt Microsoft 365 hoặc Office 365.
  • Xác định xem có bất kỳ thông báo xâm nhập tài khoản nào trước đó hoặc cảnh báo thay đổi cấu hình rủi ro cho tài khoản Office 365 này không.
  • Tìm kiếm hoạt động ứng dụng đáng ngờ của bên thứ ba. Nếu được tìm thấy, hãy thu hồi mã thông báo OAuth cho các ứng dụng bên thứ ba độc hại hoặc không được sử dụng trong môi trường.
  • Xác định xem người dùng có hiển thị các mẫu hành vi ngoài chính sách trước đây trên đám mây, email, web và điểm cuối hay không (sơ suất với dữ liệu nhạy cảm, thao túng dữ liệu rủi ro và các hành động ứng dụng OAuth rủi ro).

Theo Tạp chí Điện tử

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Đánh cắp dữ liệu, APT và ransomware: Mối lo ngại hàng đầu của lãnh đạo DN

Đánh cắp dữ liệu, APT và ransomware: Mối lo ngại hàng đầu của lãnh đạo DN

Nâng cao hệ thống an ninh mạng để bảo vệ nền kinh tế số

Nâng cao hệ thống an ninh mạng để bảo vệ nền kinh tế số

Chiêu thức lừa đảo khách sử dụng thẻ tín dụng

Chiêu thức lừa đảo khách sử dụng thẻ tín dụng

Microsoft công bố chi tiết lỗ hổng ảnh hưởng đến Apple iOS, iPadOS, thiết bị macOS

Microsoft công bố chi tiết lỗ hổng ảnh hưởng đến Apple iOS, iPadOS, thiết bị macOS

Đại diện Kaspersky lên tiếng về việc 'Đăng bán dữ liệu của hơn 30 triệu người dùng'

Đại diện Kaspersky lên tiếng về việc 'Đăng bán dữ liệu của hơn 30 triệu người dùng'

Kaspersky ủng hộ sự minh bạch trong an ninh mạng

Kaspersky ủng hộ sự minh bạch trong an ninh mạng

Cảnh báo chiến dịch phishing nhằm vào hơn 10.000 tổ chức qua Office 365

Cảnh báo chiến dịch phishing nhằm vào hơn 10.000 tổ chức qua Office 365

30 triệu dữ liệu thông tin người dùng Việt Nam bị rao bán

30 triệu dữ liệu thông tin người dùng Việt Nam bị rao bán

Cuộc đua bảo mật trong lĩnh vực ngân hàng không có điểm dừng

Cuộc đua bảo mật trong lĩnh vực ngân hàng không có điểm dừng

Cập nhật ngay trình duyệt Google Chrome trên Windows

Cập nhật ngay trình duyệt Google Chrome trên Windows

Cập nhật ngay Chrome trên điện thoại Android để loại bỏ nguy cơ bị hack

Cập nhật ngay Chrome trên điện thoại Android để loại bỏ nguy cơ bị hack

Dữ liệu cá nhân của một tỷ người dân Trung Quốc bị rao bán trên web đen

Dữ liệu cá nhân của một tỷ người dân Trung Quốc bị rao bán trên web đen

Tin mới cập nhật

Razer ra mắt chuột chơi game Deathadder V3 Pro nhẹ hơn 25%

Razer ra mắt chuột chơi game Deathadder V3 Pro nhẹ hơn 25%

Vietnam Airlines ký kết hợp tác chiến lược với T&T Group và Ngân hàng SHB

Vietnam Airlines ký kết hợp tác chiến lược với T&T Group và Ngân hàng SHB

Hải quan Đồng Nai tập trung hỗ trợ doanh nghiệp để nuôi dưỡng nguồn thu

Hải quan Đồng Nai tập trung hỗ trợ doanh nghiệp để nuôi dưỡng nguồn thu

Acer Nitro 5: Hiệu suất sử dụng tuyệt vời trong phân khúc laptop bình dân

Acer Nitro 5: Hiệu suất sử dụng tuyệt vời trong phân khúc laptop bình dân

Ứng dụng công nghệ, tăng cường tiêu chuẩn VietGAP và GlobalGAP với hàng nông sản

Ứng dụng công nghệ, tăng cường tiêu chuẩn VietGAP và GlobalGAP với hàng nông sản

Cuộc hẹn cuối tuần với chàng ca sĩ đa tài Isaac

Cuộc hẹn cuối tuần với chàng ca sĩ đa tài Isaac

Meta lần đầu tiên ghi nhận doanh thu giảm sút trong khi các đối thủ vẫn 'thăng hoa'

Meta lần đầu tiên ghi nhận doanh thu giảm sút trong khi các đối thủ vẫn 'thăng hoa'

Lần đầu tiên Việt Nam đăng cai giải đấu CFS Summer Championship 2022

Lần đầu tiên Việt Nam đăng cai giải đấu CFS Summer Championship 2022

Nâng cao nhận thức về chuyển đổi số cho cán bộ Đoàn, đoàn viên

Nâng cao nhận thức về chuyển đổi số cho cán bộ Đoàn, đoàn viên

Những cải tiến trên Galaxy Z Fold4 so với Z Fold3

Những cải tiến trên Galaxy Z Fold4 so với Z Fold3

Máy bay điện Volkswagen

Máy bay điện Volkswagen

Tìm hiểu ngôn ngữ và cuộc sống của du học sinh qua các nhà sáng tạo tài năng

Tìm hiểu ngôn ngữ và cuộc sống của du học sinh qua các nhà sáng tạo tài năng

Tin đọc nhiều

Đánh cắp dữ liệu, APT và ransomware: Mối lo ngại hàng đầu của lãnh đạo DN

Đánh cắp dữ liệu, APT và ransomware: Mối lo ngại hàng đầu của lãnh đạo DN

Nâng cao hệ thống an ninh mạng để bảo vệ nền kinh tế số

Nâng cao hệ thống an ninh mạng để bảo vệ nền kinh tế số

Microsoft công bố chi tiết lỗ hổng ảnh hưởng đến Apple iOS, iPadOS, thiết bị macOS

Microsoft công bố chi tiết lỗ hổng ảnh hưởng đến Apple iOS, iPadOS, thiết bị macOS

30 triệu dữ liệu thông tin người dùng Việt Nam bị rao bán

30 triệu dữ liệu thông tin người dùng Việt Nam bị rao bán

Những hệ lụy từ hành vi trộm cắp danh tính

Những hệ lụy từ hành vi trộm cắp danh tính

VMWare cập nhật kiến trúc Zero Trust - Giải pháp bảo mật tối ưu cho doanh nghiệp trong thời đại số

VMWare cập nhật kiến trúc Zero Trust - Giải pháp bảo mật tối ưu cho doanh nghiệp trong thời đại số

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Mỹ: Hàng triệu thiết bị thông minh có thể bị hack

Mỹ: Hàng triệu thiết bị thông minh có thể bị hack

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Video xem nhiều

Toàn cảnh xác lập kỷ lục Bản đồ Việt Nam được xếp từ nhiều xe ô tô nhất năm 2022

Toàn cảnh xác lập kỷ lục Bản đồ Việt Nam được xếp từ nhiều xe ô tô nhất năm 2022

Giới thiệu chương trình bình chọn “Xe của năm 2022"

Giới thiệu chương trình bình chọn “Xe của năm 2022"

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Công ty điện tử Samsung hôm nay tuyên bố đã đạt được tốc độ 5G nhanh nhất trong ngành

Công ty điện tử Samsung hôm nay tuyên bố đã đạt được tốc độ 5G nhanh nhất trong ngành

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Clip: Những lưu ý khi sử dụng phương tiện công cộng trong đại dịch Covid-19

Clip: Những lưu ý khi sử dụng phương tiện công cộng trong đại dịch Covid-19

Việt Nam thử nghiệm thành công cuộc gọi 5G đầu tiên trên thiết bị Make in Việt nam

Việt Nam thử nghiệm thành công cuộc gọi 5G đầu tiên trên thiết bị Make in Việt nam

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Kỷ niệm 74 năm ngày truyền thống ngành Bưu điện (15/8/1945 - 15/8/2019)

Kỷ niệm 74 năm ngày truyền thống ngành Bưu điện (15/8/1945 - 15/8/2019)

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019
Tiến sĩ Trần Văn Mạnh (Trung tâm Khuyến nông Quốc gia) đánh giá, việc phát triển sản xuất rau ứng dụng công nghệ cao nói riêng và sản xuất nông nghiệp ứng dụng công nghệ cao nói chung là hướng đi đúng, tạo động lực mới cho ngành nông nghiệp Việt Nam.
Kinh nghiệm quá hữu ích. Cần phổ biến ngay cho các cháu nhỏ.
Chúc mừng ngày thành lập ngành Bưu điện Việt Nam
Bài viết rất hay và ý nghĩa về eKGIS và hội thảo CNTT. Cảm ơn tác giả
Tình yêu , cống hiến ,nổ lực đã vượt qua những trở ngại tưởng chừng như không bao giờ qua được. Chúc Mừng Con người Đẹp , chúng tôi luôn tự hào !
Giờ mình mới biết - Chúc mừng chúc mừng con người Đẹp
Một con người dùng cả một cuộc đời cho tình yêu thiên nhiên . Ông đã đóng góp cống hiến cho nghành thực vật học nước nhà bảo tồn phát triển những loài lan quí hiếm . Xin chúc ngài có một sinh nhật ngài ấm áp hạnh phúc bên người thân . Mong xã hội và trên toàn thế giới có nhiều người tâm huyết như ông . Xin chúc cho tình cảm hữu nghị giữa hai đất nước TL & VN luôn bền chặt và thắm thiết . VN luôn yêu quí các bạn !
Con này chắc không bằng con Netgear Orbi RBS40 đâu mình đã dùng thử và đã lắp đặt nhiều nhà , cơ quan, resort , văn phòng , showroom . Con netgear Orbi có app kiểm tra từ xa và loại đối tượng thông qua tắt ip đối tượng đó
Nhu cầu tuyển dụng tăng gấp đột biến 4 lần trong một thời gian ngắn điều đó phản ánh tỉ lệ thất nghiệp trong những tháng đầu năm là 3/4 do ảnh hưởng của đại dịch covid-19 đây là một điều đáng buồn, rồi các cử nhân, kỹ sư sẽ đi đâu về đâu trong giai đoạn bất ổn này. Để cân bằng lại có thể mất một thời gian dài.