滥用微软Office 365某功能，威胁行为者对企业发动勒索攻击

2025-11-26 21:26:38分类：系统运维阅读(4687)

安全研究人员警告称
，滥用威胁行为者可能会劫持Office 365账户，微软对存储在SharePoint和OneDrive服务中的某功文件进行加密，以获得赎金 ，胁行很多企业正在使用SharePoint和OneDrive服务进行云协作 、对企动勒文档管理和存储，索攻如果数据没有备份，滥用那针对这些文件的微软勒索软件攻击可能会产生严重后果，导致所有者和工作组无法访问重要数据。某功

近期 ，胁行网络安全公司Proofpoint的对企动勒研究人员在一份报告中指出 
，建站模板勒索攻击的索攻成功主因在于滥用“自动保存”功能
，该功能会在用户进行编辑时创建旧文件版本的滥用云备份 。威胁行为者要加密SharePoint和OneDrive文件的微软前提条件是破坏Office 365 帐户 ，这很容易通过网络钓鱼或恶意OAuth应用程序完成。某功劫持帐户后，攻击者可以使用Microsoft API和PowerShell脚本自动对大型文档列表执行恶意操作 。要更快地完成文件锁定并使恢复变得更困难，威胁行为者会通过减少版本编号限制并加密所有超过该限制的文件。模板下载此任务不需要管理权限，可以从任何被劫持的帐户完成
。研究人员举例说  ，对手可以将文件版本数减少到“1” ，并对数据进行两次加密。由于文件版本限制设置为“1”，当攻击者对文件进行两次加密或编辑时，原始文档将无法通过OneDrive获得，也无法恢复。

另一种方法是使用自动脚本编辑文件501次，这超过了OneDrive存储文件版本的云计算最大500次限制 。虽然这种方法更张扬，可能会触发一些警报，但它仍然是一种有效的方法  。文档加密完成后 ，攻击者就可以向受害者索取赎金，以换取解锁文件  。在加密之前先窃取原始文件 ，从而在泄露数据的威胁下给受害者更大的压力，源码下载这也是可行的 ，而且可能被证明是有效的 ，特别是在有备份的情况下 。

虽然Proofpoint提醒微软版本编号设置可能会被滥用，但微软坚称这种配置能力是其预期的功能 。源码库微软说，如发生类似上述攻击场景的意外数据丢失情况下
，微软的support agent可以在事故发生14天后帮助恢复数据。但根据Proofpoint的报告
 ，他们尝试使用support agent恢复文件
，但失败了 。

对于可能成为这些云攻击目标的企业，最佳安全实践包括 ：

使用多因素身份验证保持定期备份寻找恶意OAuth应用程序并撤销令牌
，以及在事件响应列表中添加“立即增加可恢复版本”
。高防服务器

参考来源 ：https://www.bleepingcomputer.com/news/security/microsoft-office-365-feature-can-help-cloud-ransomware-attacks/