Una característica "potencialmente peligrosa" descubierta recientemente en Office 365 podría permitir a los piratas informáticos cifrar archivos alojados en la nube y hacerlos irrecuperables sin una solución de copia de seguridad dedicada o una clave de descifrado.
Los investigadores de seguridad cibernética de Proofpoint dicen que la falla puede abusar de la función "Autoguardar", que guarda automáticamente los documentos que se procesan en la nube.
AutoSave es una herramienta que se explica por sí misma. De vez en cuando, los documentos en los que está trabajando se guardan en la nube. Los autores, colaboradores y propietarios de archivos pueden acceder posteriormente a estas versiones anteriores, lo que les brinda una oportunidad en caso de un ataque de ransomware (se abre en una nueva pestaña).
Microsoft no está de acuerdo
Sin embargo, si un atacante obtiene acceso a la nube de la víctima (lo que sucede todo el tiempo, a través de la ingeniería social), puede hacer una de dos cosas: limitar el número de guardados automáticos a uno o activar la función de guardado automático 500 veces, que es el máximo de la herramienta.
Sin embargo, esto último no es tan factible, afirma Proofpoint: “Es poco probable que se vea el cifrado de archivos más de 500 veces en la naturaleza. Esto requiere más scripts y más recursos de la máquina al mismo tiempo que facilita la detección de su operación”, dice el anuncio.
Sin embargo, en ambos escenarios, la plataforma de colaboración dejará de hacer copias de seguridad después de eso, y si el atacante la cifra en ese momento, la víctima no tendrá más remedio que volver a una copia de seguridad en modo de espacio aéreo o pagar una clave de descifrado.
Aunque Proofpoint piensa que este es un punto débil de la herramienta, Microsoft no está de acuerdo. Tras ser informado de los resultados, el gigante de Redmond dijo que la herramienta funcionó como se esperaba. Microsoft también le dijo a Proofpoint que si algo como esto realmente sucediera, su atención al cliente puede restaurar archivos hasta por 14 días. Proofpoint, por otro lado, dice que probó este método y no funcionó.
Para proteger sus endpoints (se abre en una pestaña nueva) del ransomware y el malware (se abre en una pestaña nueva), siempre debe mantener el software y el hardware actualizados, tener fuertes protecciones de ciberseguridad (se abre en una pestaña nueva) y firewalls, y eduque a sus empleados sobre los peligros del phishing y otras formas de ingeniería social.