Una nuova minaccia tormenta anche le sottoscrizioni cloud, come ad esempio Microsoft 365. Recentemente è stato rilevato un nuovo tipo di malware, denominato Wiper che sfrutta il tool Microsoft 365 Wiper per eliminare tutti i dati critici e sensibili da un dispositivo. Il malware in questione è stato identificato come Trojan e chiamato anche “Zerocleare” ed è stato utilizzato in attacchi mirati contro obiettivi governativi e militari in Medio Oriente.
Microsoft 365 Wiper
Microsoft 365 Wiper è una soluzione di sicurezza avanzata progettata per consentire agli amministratori di sistema di eliminare rapidamente i dati sensibili da dispositivi compromessi o smarriti. In pratica, si tratta di una versione aggiornata delle prime funzionalità di remote wiping introdotte ancora in Exchange Server e poi via via integrate in diverse soluzioni di tipo MDM (Mobile Device Management).
365 Wiper Malware
L’obiettivo principale di questo malware è quello di eliminare tutti i dati critici e sensibili da un dispositivo, rendendolo completamente inutilizzabile. In questo caso quindi viene ripresa la medesima funzionalità “amministrativa” di cui sopra, ma usata stavolta in modo
Il modo in cui il Trojan Zerocleare sfrutta Microsoft 365 Wiper è piuttosto sofisticato. In pratica, il malware si installa sui dispositivi target attraverso una serie di exploit noti. Una volta installato, il malware cerca di ottenere l’accesso ai permessi di amministratore del dispositivo. Una volta ottenuti i permessi di amministratore, il malware utilizza Microsoft 365 Wiper per eliminare tutti i dati critici e sensibili dal dispositivo.
Il Malware in pratica tenta di cancellare tutti i file presenti da tutti i Teams in un tenant di Microsoft 365. Lo fa sfruttando una delle seguenti autorizzazioni dell’applicazione API Graph che sono entrambe comunemente disponibili alle App presenti all’interno di in un’organizzazione. Si tratta delle permission:
Files.ReadWrite.All
Sites.ReadWrite.All
Al momento il malware si limita alla cancellazione dei contenuti Teams e Sharepoint, ma è comunque possibile recuperare i file eliminati da questo strumento, fino a 93 giorni dopo l’eliminazione e questo grazie alle funzionalità native di Sharepoint Online attive e disponibili di default. Tuttavia, l’API di Microsoft Graph non ci dà la possibilità di ripristinare i file, quindi deve essere fatto manualmente dalla GUI di SharePoint o con la “legacy SharePoint API”.
Per la cancellazione sfrutta un modulo powershell che invoca il seguente comando:
Invoke-DCM365DataWiper -ClientID ” -ClientSecret ” -TenantName ‘AziendaX.onmicrosoft.com’ -WhatIf
SharePoint Online Recycle Bin
Come funziona il cestino di Sharepoint? Gli elementi nel Cestino vengono conservati per 93 giorni (dalla data in cui sono stati eliminati), dopodichè vengono eliminati definitivamente e non possono più essere ripristinati
Il periodo di soglia totale di 93 giorni si applica sia al Cestino “normale” sia al Cestino di secondo livello. Ciò significa che se l’utente decidesse di svuotare il Cestino per 5 giorni eliminando inizialmente gli elementi, verrebbero conservati per altri 88 giorni nel Cestino di secondo livello.
Ogni sito ha il proprio Cestino. Non esiste un cestino universale.
Gli elementi che si trovano nel Cestino di SharePoint Online non vengono tracciati nella ricerca.
I Wiper di Microsoft 365 rapprensentano quindi una vera minaccia?
Poiché è possibile eliminare i file utilizzando la registrazione di un’app ed eliminare il cestino di SharePoint con l’API di SharePoint, direi che si tratta di una vera minaccia. Gli attori delle minacce non sono ancora esperti per quanto riguarda le soluzioni cloud, ma stanno imparando e di conseguenza migliorando da un punto di vista tecnico.
Quindi cosa possiamo fare? Bene, prima di tutto penso che sia una buona idea configurare i criteri di conservazione in Microsoft 365. Ciò garantisce che i dati vengano conservati per un certo periodo di tempo e che non possano essere eliminati dalla registrazione di un’app durante tale periodo. È inoltre possibile usare le etichette di conservazione per classificare specifici siti di SharePoint o singoli file per conservarli.
Ma si tratta sempre di soluzioni di retention e non di soluzioni di Backup. Microsoft 365 non offre nessuna soluzione integrata di backup, ma bisogna ricorrere a terze parti specifiche per 365, permettendo quindi realmente di proteggere i contenuti del tenant.
E’ comunque cosa buona e giusta hardenizzare la superficie di attacco anche in un ambiente cloud, ad esempio rimuovendo le autorizzazioni API non necessarie dalle app di Azure AD, implementando la protezione per le identità dei carichi di lavoro di Azure AD ed investendo in una soluzione SIEM in modo da poter rilevare un attacco nella sua fase iniziale e cercare in modo proattivo le minacce.