Microsoft OneDrive est concerné par une vulnérabilité majeure. La plateforme expose potentiellement ses utilisateurs à des attaques de type ransomware, ce qui est plutôt inquiétant compte tenu des promesses de sécurité qu'elle met en avant.
Ce sont les conclusions d'une récente recherche menée par un expert en sécurité. Celui-ci est parvenu à démontrer que la plateforme de services cloud de Microsoft pouvait se transformer un véritable espion qui permet aux hackers de récupérer des données sensibles en contournant ses mécanismes de détection.
Une faille qui transforme OneDrive en agent double
L'expert en sécurité en question, Or Yair, s'est mis dans la peau d'un hacker et est parvenu à déjouer les défenses de OneDrive assez facilement. Première étape : compromettre un compte utilisateur. Une fois ceci accompli, Yair a eu accès aux « sessions tokens » (éléments de sécurité qui permettent l'authentification et l'accès d'un utilisateur à son stockage dans le cloud), les a extraites du compte utilisateur et les a exploitées pour lancer son attaque. Cette manipulation lui a permis d'établir des jonctions vers d'autres dossiers extérieurs à OneDrive, ce qui lui a donné la possibilité d'accéder à des fichiers stockés localement dans d'autres ordinateurs. Une fois cet accès établi, il était alors possible de chiffrer, de supprimer ou de modifier ces fichiers.
OneDrive comporte logiquement une protection essentielle face à ce type de manipulation : des copies « shadow » des fichiers, qui font office de sauvegardes pour les protéger en cas d'attaque ransomware de ce type. Pour autant, Yair est parvenu à contourner ce mécanisme de défense en prenant pour cible l'application OneDrive développée pour l'OS Android. Celle-ci comporte une grosse faiblesse, puisque l'API permet la suppression des copies « shadow » que Yair avait déjà chiffrées. Résultat : impossible pour les victimes de récupérer leurs fichiers, ceux-ci avaient été cryptés.
Des erreurs de conception à la source de ce problème
Les conclusions tirées par Yair sont les suivantes : ces soucis de perméabilité sont du fait de Microsoft et d'erreurs lors de la conception des protections de OneDrive. Mais pas uniquement, car des fournisseurs de services qui collaborent avec Microsoft au développement du service de cloud seraient aussi fautifs.
Microsoft doit désormais être en mesure de régler cette vulnérabilité. Logiquement, les logiciels de détection devraient être capables de capter une telle activité malveillante lorsqu'elle touche aux sessions tokens. Toutefois, les solutions de détection proposées par les différents fournisseurs de Microsoft n'ont pas réussi à repérer cette faille. SentinelOne, l'un des logiciels utilisés dans l'environnement OneDrive, avait cependant détecté l'attaque, mais n'est pas allé jusqu'à empêcher la suppression des copies « shadow » de fichiers. La raison : l'exécutable local de OneDrive était situé dans une liste d'autorisations à laquelle il ne devait certainement pas avoir accès.
Les attaques de ce type deviennent de plus en plus sophistiquées et fréquentes, et il est urgent que les entreprises se mettent à la page. Cette vulnérabilité découverte par Yair aurait éventuellement pu être évitée si Microsoft et ses différents fournisseurs de logiciels de sécurité avaient travaillé en collaboration de manière plus renforcée.
- mood5 Go de stockage gratuit
- upload250 Go en limite d'envoi
- home_pinServeurs en Europe
Source : The Register