Здравствуй, хакер в облаках: в хранилище OneDrive нашли небезопасную лазейку

Недавние исследования выявили угрозу для пользователей Microsoft — уязвимость в приложении OneDrive, которая может стать лазейкой для вымогательского вируса.

OneDrive — один из самых известных продуктов Microsoft, позволяющий синхронизировать файлы между локальным устройством и облачными серверами. С точки зрения корпорации, это безопасный способ хранения информации: Microsoft активно рекомендует перемещать важные документы в OneDrive, обещая высокий уровень их защиты.

Однако недавно Ор Яир, специалист по безопасности из SafeBreach, опубликовал результаты своего исследования на конференции Black Hat, согласно которым OneDrive может быть использован злоумышленниками в качестве инструмента для кибератак.

По словам Яра, достаточно скомпрометировать аккаунт одного пользователя. Само приложение хранит логи сессий в отдельной папке, в которой содержатся и сессионные токены. Эти токены облегчат несанкционированный доступ.

Затем, используя возможности OneDrive по управлению файлами, хакеру будет нетрудно создавать, изменять или удалять данные в обход системам защиты.

Ситуация усугубляется тем, что большинство современных систем обнаружения и реагирования на инциденты (EDR) не воспринимают действия OneDrive как угрозу. Например, программы от ведущих разработчиков, таких как CyberReason, Microsoft Defender for Endpoint, в подобной ситуации окажутся неэффективными. Только SentinelOne выявляет аномальное поведение, но даже он не всегда успешно блокирует вредоносные действия.

В Microsoft отреагировали быстро: специалисты уже выпустили необходимые исправления для OneDrive, и многие компании-разработчики обновили свои EDR-системы. Но ситуация показала, что даже доверенные приложения могут стать источником угрозы, что требует пересмотра подходов к безопасности со стороны компании.