Nutzerdaten in Gefahr: Microsoft Onedrive als Werkzeug für Ransomware-Angriffe
Dem Sicherheitsforscher Or Yair von Safebreach ist es gelungen, Microsofts Onedrive-Anwendung für die Durchführung von Ransomware-Angriffen zu missbrauchen. Wie der Forscher The Register(öffnet im neuen Fenster) erklärte, beschreibt Microsoft den in Windows integrierten Cloudspeicherdienst eigentlich als "Schutz vor Ransomware" , da Anwender durch Onedrive üblicherweise in der Lage seien, von Angreifern verschlüsselte Dateien wiederherzustellen.
"Microsoft empfiehlt Nutzern sogar, wichtige Dateien in Onedrive zu speichern, weil sie in der Cloud besser geschützt sind" , so Yair. Jedoch sei es dem Sicherheitsforscher gelungen, "Onedrive in einen Doppelagenten zu verwandeln" .
Microsoft speicherte Session-Token in Protokolldateien
Zunächst kompromittierte der Forscher das mit dem Zielsystem verknüpfte Microsoft-Konto. Dies sei keine große Herausforderung gewesen, da Onedrive in einem Verzeichnis des angemeldeten Benutzers Protokolldateien speichere, in denen gültige Session-Token enthalten seien.
Anschließend konnte Yair unter Einsatz von Verzweigungen eine Verbindung zu Speicherbereichen außerhalb des Onedrive-Verzeichnisses herstellen. Somit erreichte er "eine Situation, in der Dateien auf einem lokalen Rechner erstellt, geändert oder gelöscht werden können" . Unter Einsatz einer beliebigen Verschlüsselungssoftware ließen sich die Daten auf dem Zielsystem infolgedessen für deren Eigentümer unzugänglich machen.
Auch die von Microsofts Cloudspeicherdienst erstellten Schattenkopien, über die sich die ursprünglichen unverschlüsselten Dateien normalerweise vom Benutzer wiederherstellen lassen, habe der Forscher durch eine Schwachstelle in der Onedrive-App für Android löschen können. Nutzer eines angegriffenen Windows-Systems fanden folglich nur noch die verschlüsselten Dateien vor.
Gängige Sicherheitslösungen boten keinen Schutz
Da viele gängige Sicherheitslösungen (EDR: Endpoint Detection and Response) Onedrive bisher als vertrauenswürdige Anwendung einstuften, boten diese keinen effektiven Schutz vor einem Angriff dieser Art. Da auf dem Zielcomputer keine tatsächliche Malware installiert war, gab es auch keine statische Signatur, die eine Antivirensoftware hätte erkennen können. Lediglich eine Software von Sentinelone soll den Angriff erkannt haben. Jedoch habe auch diese die Vorgänge nicht verhindern, sondern den Benutzer lediglich davor warnen können.
Microsoft sowie die Anbieter mehrerer EDR-Lösungen sollen inzwischen Updates veröffentlicht haben, um den demonstrierten Angriff einzudämmen. Darüber hinaus ist es laut Yair wichtig, dass moderne Sicherheitslösungen jeglichen Anwendungen, auch wenn diese augenscheinlich von Microsoft selbst stammen, in Zukunft kein blindes Vertrauen mehr entgegenbringen.