Ransomware, OneDrive protegge gli utenti o favorisce le infezioni?

Microsoft sostiene che OneDrive possa essere uno strumento efficace per contrastare i ransomware ma, secondo alcuni esperti di sicurezza informatica, non è così.

Una ricerca pubblicata questa settimana e presentata da Or Yair di SafeBreach in occasione dell’evento Black Hat, lo strumento di Microsoft è da considerarsi come un “doppiogiochista”. I dati raccolti, infatti, andrebbero a dimostrare come il sistema cloud sia in grado di rivoltarsi contro i propri utenti, diventando molto pericoloso.

Secondo Or Yair, infatti “Microsoft descrive OneDrive come un rifugio contro il ransomware […] utilizzato per il recupero dei dati ransomware e Microsoft consiglia persino agli utenti di archiviare file importanti in esso perché sono protetti meglio nel cloud“.

Tuttavia, come il ricercatore ha poi dimostrato durante il suo discorso, una serie di errori sia da parte di Microsoft che di fornitori di terze parti dimostrano che questo software è facile da ingannare, tendendo a crittografare qualsiasi dato a cui possa collegarsi.

OneDrive “doppiogiochista”? Ecco come è possibile aggirare i suoi sistemi di sicurezza

Il servizio di cloud storage proposto da Microsoft, utilizzata comunemente per sincronizzare i file tra server remoti del colosso informatico e computer locali, rappresenta dunque un pericolo nascosto sui nostri PC.

Un cybercriminale, per agire su OneDrive e sfruttarlo a proprio vantaggio, deve per prima cosa ottenere l’accesso all’account. Questa fase non è complicata, se lo stesso lavora su una macchina Windows compromessa.

OneDrive, per sua natura, memorizza tutti i suoi file di registro. Quei registri, a loro volta, contengono token di sessione che Yair ha affermato di essere stato in grado di estrarre dal file di registro una volta che ne ha preso una copia e l’ha analizzata.

Con il token ottenuto, il passo successivo è uscire dalle directory di OneDrive e modificare la stessa. “Una volta creati collegamenti con aree al di fuori della directory di OneDrive, otteniamo una situazione in cui è possibile creare, modificare o eliminare file su una macchina locale” ha affermato Yair.

OneDrive include funzionalità che impediscono al ransomware di distruggere i backup, garantendo la presenza di copie di riserva dei file. Questi, dunque, possono essere ripristinati in caso di attacco, anche se Yair afferma di essere stato in grado di sovvertire anche quelle funzionalità (attraverso l’app specifica per Android).

Un’API utilizzata dall’app è diversa dalle altre app OneDrive e tale differenza haconsentito a Yair di eliminare le copie originali dei file che aveva crittografato in modo tale da renderle irrecuperabili, lasciando alla vittima nient’altro che backup crittografati inaccessibili.