Attaque DoubleDrive ou quand OneDrive se transforme en ransomware !
Un chercheur en sécurité a identifié une faille de sécurité importante dans le service de stockage OneDrive de Microsoft. Grâce à elle, OneDrive devient un véritable ransomware puisqu'il peut être utilisé pour chiffrer les données de l'utilisateur ! Voici ce qu'il faut savoir !
À l'occasion de l'événement BlackHat USA 2023, Or Yair, un chercheur en sécurité de chez SafeBreach a présenté une technique surnommée DoubleDrive et qui permet d'utiliser OneDrive comme un... ransomware ! Un comble pour le service de stockage Cloud de Microsoft, justement là pour permettre de stocker vos données dans le Cloud, en toute sécurité.
Grâce à la technique qu'il a découverte, OneDrive joue le rôle d'un agent double, car il s'agit d'une application de confiance, préinstallée dans Windows depuis plusieurs années, et qui sert à synchroniser les données locales vers le Cloud, et inversement. Puisque c'est une application officielle de chez Microsoft et qu'elle manipule des données, l'EDR pourra passer à côté des actions suspectes.
En prenant le contrôle d'un compte Microsoft rattaché à un OneDrive, Or Yair est parvenu à chiffrer les données des ordinateurs qui utilisent ce même compte OneDrive. Pour cela, il a réutilisé les jetons d'authentification permettant l'accès au compte OneDrive. À partir de là, il avait accès aux données, donc il pouvait aisément les chiffrer. Toutefois, OneDrive intègre une fonction qui permet de restaurer les données dans une version précédente (comme une shadow copy), de quoi contrer son attaque.
C'est sans compter sur l'application mobile de OneDrive : à cause d'une vulnérabilité dans l'API, le chercheur en sécurité est parvenu à supprimer les versions précédentes, de quoi empêcher la restauration des données du OneDrive ! Résultat, les données de l'utilisateur sont chiffrées et il ne peut pas les restaurer, et OneDrive a joué un rôle clé dans cette attaque...!
D'après le chercheur en sécurité, la solution populaire SentinelOne n'a pas détecté le chiffrement du ransomware, mais elle a tout de même détecté l'attaque sur la suppression des shadow copy, mais elle n'a pas pu l'empêcher. D'autres solutions comme CrowdStrike Falcon ou Palo Alto Cortex XDR, ne font pas mieux.
Il est important de préciser que cette technique permet de chiffrer l'ensemble des données de l'ordinateur cible, et pas seulement les données stockées dans le OneDrive, grâce à l'utilisation de liens symboliques dans l'espace OneDrive.
Comment se protéger ?
À la fin de la présentation de Or Yair, accessible depuis le site BlackHat, on apprend que Microsoft a fait le nécessaire pour corriger cette faille de sécurité jugée comme importante par l'entreprise américaine. En effet, une slide nommée "Update to be safe" référence deux versions de OneDrive : 23.061.0319.0003 et 23.101.0514.0001. La plus récente des deux, c'est la version 23.101.0514.0001 disponible depuis le 24 mai dernier. Tout en sachant que depuis, il y a eu d'autres versions notamment la version 23.153.0724.0003 disponible depuis le 02 août 2023 (voir cette page).
Cette jolie trouvaille est la preuve que la sauvegarde de ses données OneDrive est importante...!
