Un investigador ha descubierto recientemente una serie de fallas de seguridad en la aplicación de almacenamiento de datos en la ‘nube’ de Microsoft: OneDrive. Estas vulnerabilidades habrían permitido al examinador cifrar variedad de archivos, así como poder secuestrar la cuenta de alguien.
Or Yair, investigador de seguridad de SafeBreach, informó recientemente a Black Hat, de una serie de fallas de seguridad y vulnerabilidades en OneDrive, la aplicación de Microsoft que permite almacenar nuestros datos en la ‘nube’. Según Yair, OneDrive se vendía como una aplicación diseñada ‘como un refugio contra el ransomware‘.
«OneDrive se utiliza para la recuperación de datos de ransomware, y Microsoft incluso recomienda que los usuarios almacenen archivos importantes en OneDrive porque están mejor protegidos en la nube«, añadía Yair.
Yair prosiguió la charla explicando que, durante su ‘inmersión’ dentro de OneDrive, encontró errores, tanto de Microsoft como por parte de terceros, que ponían en la cuerda floja a la aplicación, a la cual describe como ‘fácil de engañar y deseosa de cifrar cualquier cosa a la que pueda acceder‘.
¿Cómo accedió a los directorios de OneDrive?
Como hemos explicado antes, OneDrive es el servicio de almacenamiento en línea (también llamado en la nube), de Microsoft. Es como Google Drive, de Google.
Para convertir OneDrive en un agente doble, el primer paso es secuestrar la cuenta de alguien, tarea que fue bastante fácil para Yair tras comprometer una máquina de Windows.
Resulta que OneDrive guarda todos los registros de sus archivos en una carpeta destinada al usuario que ha accedido al sistema. Estos registros, a su vez, contienen identificadores de sesión que, de acuerdo a Yair, pudo obtener del archivo de registro una vez que obtuvo una copia y la analizó. Con el identificador de sesión adquirido de manera indebida, Yair pudo comenzar a trabajar.
Sortear los propios directorios de OneDrive resultó ser relativamente simple: Yair mencionó que, mientras que los enlaces simbólicos requieren privilegios de administrador (los cuales Yair no tenía durante sus pruebas), las uniones pueden ser creadas por cualquier persona. Sin embargo, estas uniones solo pueden dirigirse hacia una carpeta en particular, no hacia un archivo específico.
La app en Android, el gran punto débil
«Una vez que creamos uniones a áreas fuera del propio directorio de OneDrive conseguimos una situación en la que pude crear, modificar o eliminar archivos en una máquina local«, cometaba Yair.
OneDrive incorpora características que previenen la acción destructiva del ransomware sobre las copias de seguridad. Estas garantizan la existencia de réplicas sombreadas de los archivos, las cuales pueden ser restauradas en caso de un eventual ataque.
Aún así, Yair sostiene que logró eludir estas medidas de seguridad, identificando la aplicación de OneDrive para Android como su punto vulnerable en esta situación.
La API empleada por esta aplicación presenta variaciones respecto a la utilizada por otras aplicaciones de OneDrive. Estas diferencias brindaron a Yair la capacidad de eliminar las copias originales de los archivos que habían sido encriptados, de tal manera que se volvían completamente irrecuperables. Esta acción dejó a la víctima únicamente con copias de seguridad encriptadas de los archivos ya previamente cifrados.
Un ransomware indetectable
La reacción inicial frente a una amenaza de ransomware de esta naturaleza, en la cual una aplicación legítima se transforma repentinamente en un actor malicioso que procede a cifrar archivos en todo el dispositivo, es comprensiblemente confiar en que el software de detección y respuesta de endpoints asuma la responsabilidad de contrarrestar tal situación.
No obstante, de acuerdo con Yair, el software de Detección y Respuesta a Endpoints (EDR) debería tener la capacidad de identificar esta forma de actividad, especialmente aquella relacionada con la eliminación de instantáneas.
Sin embargo, resulta interesante que varios de los principales proveedores de soluciones empresariales no lograron detectar la presencia del agente no autorizado de OneDrive en su entorno.
Ni CyberReason, ni Microsoft Defender for Endpoint, CrowdStrike Falcon, ni Palo Alto Cortex XDR, según se ha señalado, lograron identificar el acto de vandalismo.
SentinelOne, el único EDR que detectó el ransomware
El software de SentinelOne logró identificar y generar una alerta ante la posibilidad de un ataque de ransomware. Sin embargo, lamentablemente no logró prevenir la eliminación de las instantáneas, ya que el ejecutable local de OneDrive se encuentra en una lista de excepciones permitidas.
Dado que OneDrive es una aplicación confiable en diversas soluciones EDR, no activa alertas al modificar archivos señuelo, emplea extensiones de archivo reconocidas y confiables para los archivos cifrados, y puede operar en directorios que de otro modo estarían restringidos. Dado que no se ha instalado software malicioso en la máquina de destino, tampoco existe una firma estática que pueda ser detectada.
De este modo, si un atacante logra tomar el control de una estación de trabajo con sistema operativo Windows, es plausible que pueda cifrar una porción considerable de la máquina utilizando software legítimo. En vista de esto, ¿existen métodos efectivos para protegerse contra tales ataques?
Al parecer, Microsoft ha tomado medidas para abordar la problemática identificada por Yair. Por su parte, Crowdstrike, CyberReason y Palo Alto han implementado correcciones en sus soluciones de Detección y Respuesta a Endpoints (EDR).
Además, en palabras de Yair:
«Es esencial que las aplicaciones dejen de depositar confianza automática en otros procesos, incluso si han sido desarrollados por Microsoft. En situaciones donde no existe otra alternativa, los proveedores de seguridad deben ser capaces de evaluar si un atacante podría tomar control de procesos, como en el caso de OneDrive, y deben conocer cómo identificar y neutralizar esta amenaza antes de que se materialice.»
Solución: no fiarse nunca
En conclusión, el reciente informe de seguridad de Or Yair, investigador de SafeBreach, arroja luz sobre una serie de debilidades en la aplicación OneDrive de Microsoft, destacando la facilidad con la que un atacante podría comprometer la integridad de los archivos almacenados en la nube.
A pesar de que OneDrive se promociona como una salvaguardia contra el ransomware, Yair logró demostrar que su diseño puede ser explotado de manera efectiva.
El descubrimiento de vulnerabilidades en la protección contra ransomware y la capacidad de burlar las funciones de seguridad de OneDrive revelan una advertencia clara sobre la necesidad de reevaluar la confianza automática en procesos, incluso si provienen de fuentes confiables como Microsoft.
Así, cobra más importancia que nunca el rol del firewall humano, pues las personas somos la última línea de defensa ante los ciberataques, y del mismo modo, somos el eslabón más débil. Las técnicas de ingeniería social, cada vez más sotisficadas y creíbles, nos obligan a estar alerta y a desconfiar de todo individuo ajeno a la organización para evitar males mayores.
Además, la reacción de los principales proveedores de seguridad, como Microsoft y Crowdstrike, al abordar estas cuestiones subraya la importancia de una respuesta ágil y efectiva en el campo de la ciberseguridad.
