Gisslanprogram, eller ransomware på engelska, gör att den drabbade användarens filer krypteras, och bara kan återställas om användaren betalar en lösensumma till förövarna, om ens då. Har användaren skrivrättigheter till filer eller kataloger på en enhet för nätverkslagring, kan även filer på den enheten bli krypterade, vilket kan drabba långt fler än den enskilde användaren.
Den kände it-säkerhetsexperten och före detta hackaren Kevin Mitnick visar i en video att gisslanprogram även kan drabba e-post. Företeelsen är inte helt ny, men metoden som Mitnick visar är väldigt enkel och kan drabba vem som helst som använder Office 365. Kevin Mitnick visar i sin video hur enkelt det är. På några sekunder har en hackare kommit över data eller krypterat innehåll i din brevlåda utan att ha kommit över ditt lösenord.
Det finns idag goda möjligheter att skydda din identitet i Office 365. Du har kanske långa och komplexa lösenord, multifaktor-autentisering och har spärrat gamla protokoll som pop och imap, och känner dig ganska säker på att ingen kan stjäla data från dina användare även om deras lösenord skulle komma på vift. Tyvärr är du troligen ändå mer sårbar än du tror.
Attackmetoden går typiskt till så här:
- Användaren får ett mejl med en länk av typen ”Klicka här för att kontrollera säkerheten på ditt konto”.
- När användaren klickar på länken kommer en ruta automatiskt upp i webbportalen för Office 365 där en applikation ber om åtkomst till data. Användaren klickar på ”acceptera” och inget mer händer eller användaren kommer till någon intetsägande sida. Användaren rycker på axlarna och går vidare med annat arbete.
Det som egentligen har hänt här är att den externa applikationen har tilldelats en oauth-pollett (token) som via ett api ger delegerad tillgång till användarens data, inklusive e-post och filer i Sharepoint och/eller Onedrive. En hackare kan sedan i lugn och ro läsa mejl och filer, ta bort data eller kryptera innehållet som gisslan för att avkräva dig en lösensumma. Även om du kan hjälpa användaren tillbaka om du har aktiverat olika former av kvarhållanderegler så kan skadan vara skedd om viktig eller hemlig information har spridits.
Den här möjligheten för alla slutanvändare är som standard aktiverad. Anledningen är att det finns gott om helt legitima användningsområden för funktionen. Att kunna återvinna sitt konto i Azure AD till olika externa applikationer som lönesystem och utskriftslösningar är ju mycket bekvämt och ger god säkerhet och spårbarhet.
Det är alltså fråga om en svår avvägning som Microsoft måste göra här, och man har just nu landat i att det är värt att ha denna funktion aktiv som standardinställning. Microsoft är heller inte ensamma om den här möjligheten att delegera data via oauth, samma sorts funktion finns både Google- och Yahoo-konton.
Hur kan du då se om du redan är drabbad och hur stoppar du framtida attacker? I Azure AD visas alla externa applikationer som har integrerats i din miljö under ”Enterprise Apps”. Här bör du börja med att ta en titt om du ser några applikationer som du inte känner igen och i så fall se efter vilka användare som har tilldelats behörighet till applikationen. Det finns ett bra verktyg du kan använda som visar vilka applikationer som har behörighet i din katalogtjänst. Verktygen finns att hämta här på Github.
Om du hittar några misstänkta applikationer kan du ta bort dem eller också kan du spärra dem tillfälligt under tiden du undersöker saken. Du kan också gå in på varje enskild användare och ta bort en applikation specifikt för just den användaren.
När du undersökt detta och är säker på att du inte är drabbad eller har rensat upp efter en attack bör du överväga att stänga dörren för dessa attacker i framtiden genom att i Office 365-portalen ange att användare inte ska kunna tilldela tredjepartsapplikationer rättigheter till deras data. Detta är en rekommenderad ändring ur ett säkerhetsperspektiv. Men det leder givetvis även till att legitima applikationer inte heller kan få tillgång till användarens data.
Dilemmat kan lösas på flera sätt. Är det fråga om ett mindre företag där problemet uppstår sällan kan du som administratör tillfälligt aktivera möjligheten igen under en kortare tid. Är det ett större företag blir denna metod opraktiskt och administratören kan då ge en så kallad ”Admin-consent” till appen, vilket automatiskt godkänner den och dess åtkomst för alla användare. Även detta görs i Azure AD-konsolen och är något som du med all säkerhet kan få hjälp med av supportfunktionen hos din applikationsleverantör.
Med tanke på hur enkelt den här funktionen kan missbrukas, bör du omedelbart överväga att slå av möjligheten för användare att delegera tillgång till deras data. Även om det kan leda till en del extra arbete då nya applikationer ska infogas, så är det troligt att det är värt besväret. Din nattsömn är också värd en hel del. Under alla omständigheter bör du se till att informera alla användare om denna attackmetod så att de inte tanklöst klickar ”OK” på alla rutor som dyker upp.
Läs också:
Microsofts varningsmail om ovanlig inloggning kan vara nätfiske
Nätfiske med QR-koder rundar alla skydd
 som via ett api ger delegerad tillgång till användarens data, inklusive epost och filer i Sharepoint och/eller OneDrive. En hackare kan sedan i lugn och ro läsa epost och filer, ta bort data eller kryptera innehållet som gisslan för att kräva dig på en lösensumma. Även om du kan hjälpa användaren tillbaka om du har aktiverat olika former av kvarhållanderegler så kan skadan vara skedd om viktig eller hemlig information har spridits. Den här möjligheten för alla slutanvändare är som standard aktiverad och anledningen till detta är att det givetvis finns gott om helt legitima användningsområden för den här funktionen. Att kunna återvinna sitt konto i Azure AD till olika externa applikationer som lönesystem och utskriftslösningar är ju mycket bekvämt och ger god säkerhet och spårbarhet. Det är alltså fråga om en svår avvägning som Microsoft måste göra här, och man har just nu landat i att det är värt att ha denna funktion aktiv som standardinställning. Microsoft är heller inte ensamma om den här möjligheten att delegera data via oauth, samma sorts funktion finns till såväl Google-konton som Yahoo och rätt använt är det som sagt en väldigt bra funktion, men som många bra funktioner så kan även den här missbrukas. Hur kan du då se om du redan är drabbad och hur stoppar du framtida attacker? I Azure AD visas alla externa applikationer som har integrerats i din miljö under ”Enterprise Apps”. Här bör du börja med att ta en titt om du ser några applikationer som du inte känner igen och i så fall se efter vilka användare som har tilldelats behörighet till applikationen. Det finns ett bra verktyg du kan använda som visar vilka applikationer som har behörighet i din katalogtjänst. Verktygen finns att hämta här. https://gist.github.com/psignoret/41793f8c6211d2df5051d77ca3728c09 [Enterpriseapps.jpg] [UserConsentPortal.jpg] Om du hittar några misstänkta applikationer kan du ta bort dem helt direkt eller också kan du spärra dem tillfälligt under tiden du undersöker saken. Du kan också gå in på varje enskild användare och ta bort en applikation specifikt för enbart den användaren. [Delete-DisableApp.jpg] [RemoveAppForUser.jpg] När du undersökt detta och är säker på att du inte är drabbad eller har rensat upp efter en attack bör du överväga att stänga dörren för dessa attacker i framtiden genom att i Office 365-portalen ange att användare inte ska kunna tilldela tredjepartsapplikationer rättigheter till deras data. Detta är en rekommenderad ändring ur ett säkerhetsperspektiv. Men det leder givetvis även till att legitima applikationer inte heller kan få tillgång till användarens data. [DisableConsent.jpg] Dilemmat kan lösas på flera sätt. Är det fråga om ett mindre företag där problemet uppstår sällan sällan kan du som administratör tillfälligt aktivera möjligheten igen under en kortare tid. Är det ett större företag blir denna metod opraktiskt och administratören kan då ge en så kallad ”Admin-consent” till appen, vilket automatiskt godkänner den och dess åtkomst för alla användare. Även detta görs i Azure AD-konsolen och är något som du med all säkerhet kan få hjälp med av supportfunktionen hos din applikationsleverantör. [AdminConsentPortal.jpg] Med tanke på hur enkelt den här funktionen kan missbrukas, bör du omedelbart överväga att slå av möjligheten för användare att delegera tillgång till deras data. Även om det kan leda till en del extra arbete då nya applikationer ska infogas, så är det troligt att det är värt besväret. Din nattsömn är också värd en hel del. Under alla omständigheter bör du se till att informera alla användare om denna attackmetod så att de inte tanklöst klickar Ok på alla rutor som dyker upp. Läs också: Microsofts varningsmail om ovanlig inloggning kan vara nätfiske https://techworld.idg.se/2.2524/1.721973/microsoft-varningsmail-natfiske Nätfiske med QR-koder rundar alla skydd https://techworld.idg.se/2.2524/1.720971/natfiske-med-qr-koder-rundar-alla-skydd){kind=link}