Cybersécurité

Attaque DoubleDrive : Quand OneDrive devient un outil de ransomware

Recevez votre audit gratuit
Attaque DoubleDrive transforme OneDrive en outil de ransomware
Une vulnérabilité critique dans OneDrive a permis de le convertir en ransomware. Découvrez les détails de cette menace et les mesures pour garantir votre sécurité.
Sommaire
  1. DoubleDrive et Microsoft OneDrive : Quand le stockage devient une menace
  2. Analyse de la menace
  3. Implications de l’attaque
  4. Mesures correctives et protection
  5. Ce n’est pas le premier incident avec Microsoft
  6. Conclusion

DoubleDrive et Microsoft OneDrive : Quand le stockage devient une menace

Lors de l’événement BlackHat USA 2023, Or Yair de SafeBreach a dévoilé une technique, nommée DoubleDrive, permettant de transformer OneDrive en un outil de ransomware. Cette découverte est un paradoxe pour un service destiné à stocker en toute sécurité vos données dans le Cloud. Source 1 - Source 2.

Inquiet pour la sécurité de vos données dans le cloud?

Dhala Cyberdéfense offre des solutions pour sécuriser vos données stockées en ligne et garantir leur intégrité et leur disponibilité.

Découvrez nos solutions de sécurité pour le cloud

Analyse de la menace

OneDrive, préinstallé sur de nombreuses versions de Windows, sert à synchroniser les données entre l’appareil local et le cloud. Étant une application officielle de Microsoft, elle possède un niveau de confiance élevé. Cela signifie que la plupart des outils de détection de menaces pourraient ignorer ses actions, même si elles sont malveillantes.

Or Yair a découvert qu’en prenant le contrôle d’un compte Microsoft lié à OneDrive, il pouvait utiliser les jetons d’authentification pour accéder et chiffrer les données de l’utilisateur. Bien que OneDrive dispose d’une fonction pour restaurer les données à une version antérieure, Yair a exploité une vulnérabilité dans l’API de l’application mobile pour supprimer ces versions sauvegardées, rendant la restauration impossible.

Implications de l’attaque

Non seulement les données stockées dans OneDrive ont été chiffrées, mais l’attaque a également chiffré l’ensemble des données de l’ordinateur cible, grâce à l’utilisation de liens symboliques. De nombreuses solutions de sécurité, telles que SentinelOne, CrowdStrike Falcon, ou Palo Alto Cortex XDR, n’ont pas réussi à détecter ou à prévenir cette attaque.

Protégez vos données stockées en ligne dès aujourd'hui

Mesures correctives et protection

Microsoft a depuis adressé la faille et publié des mises à jour pour OneDrive. Les utilisateurs sont encouragés à mettre à jour vers la version 23.061.0319.0003 ou ultérieure pour se protéger.

Ce n’est pas le premier incident avec Microsoft

Cet incident rappelle une erreur antérieure de Microsoft avec Hotmail où une mauvaise configuration DNS SPF a entraîné des échecs de livraison d’e-mails pour des millions d’utilisateurs. Détails ici.

FAQ

Qu'est-ce que le ransomware ?

Le ransomware est un type de logiciel malveillant qui chiffre les fichiers ou les données d'un utilisateur, rendant ces informations inaccessibles. Les auteurs du ransomware exigent ensuite une rançon, généralement payée en cryptomonnaie, pour fournir la clé de déchiffrement.

Comment OneDrive a-t-il pu être utilisé comme un ransomware ?

Une vulnérabilité dans l'API mobile de OneDrive a permis aux attaquants d'exploiter la plateforme pour chiffrer les fichiers stockés des utilisateurs. Cette attaque est une illustration de la manière dont des services de stockage en cloud apparemment sûrs peuvent être compromis si une faille de sécurité est présente.

Comment puis-je sécuriser mes données dans le cloud ?

Pour sécuriser vos données dans le cloud, il est recommandé de suivre plusieurs meilleures pratiques. Par exemple, assurez-vous que toutes vos applications et vos systèmes sont à jour. Utilisez des méthodes d'authentification robustes, comme l'authentification à deux facteurs. Enfin, assurez-vous de disposer de sauvegardes hors ligne pour vos données cruciales, afin de pouvoir les récupérer en cas de compromission.

Conclusion

L’importance de sauvegarder ses données n’a jamais été aussi évidente. Cet incident souligne l’importance d’avoir en place des solutions telles qu’un antispam, un archivage automatique, et la continuité des communications par email. Comme mentionné dans un article précédent, Dhala Cyberdéfense propose des solutions robustes pour garantir la sécurité et la continuité de vos communications par e-mail.

Reprenez le contrôle de votre parc informatique dès aujourd’hui

Audit gratuit en 3min