Onedrive

Pesquisadores de segurança revelaram uma técnica de ataque sofisticada que utiliza o Microsoft OneDrive para executar código malicioso, contornando defesas de segurança tradicionais. O método, conhecido como DLL sideloading, explora a ordem previsível de busca de bibliotecas dinâmicas do Windows. Quando o OneDrive.exe é iniciado, o sistema operacional procura arquivos necessários, como version.dll, em várias localizações, começando pelo diretório do aplicativo. Os atacantes aproveitam esse comportamento ao inserir uma versão maliciosa do arquivo version.dll no diretório do OneDrive, fazendo com que o aplicativo carregue código controlado pelo invasor em vez das bibliotecas legítimas da Microsoft.

Uma nova pesquisa da Entro Labs revelou uma vulnerabilidade crítica na funcionalidade de auto-sincronização do OneDrive da Microsoft, que está expondo segredos empresariais em larga escala. O estudo indica que um em cada cinco segredos expostos em ambientes corporativos provém do SharePoint, não por meio de ataques sofisticados, mas devido a uma configuração padrão do OneDrive que move automaticamente arquivos locais contendo credenciais sensíveis para repositórios na nuvem. A falha de segurança está relacionada ao recurso Known Folder Move (KFM), que sincroniza pastas críticas do usuário, como Desktop e Documentos, para o OneDrive. Isso resulta em uma exposição inadvertida de arquivos que deveriam ser mantidos localmente, tornando-os acessíveis a administradores e contas potencialmente comprometidas. A pesquisa também destaca que a maioria dos arquivos expostos são planilhas, representando mais de 50% dos segredos, seguidas por arquivos de texto e scripts. A situação é agravada pela ativação padrão do OneDrive em sistemas Windows 10/11, que pode levar usuários a fazer backup de arquivos sensíveis sem perceber. Para mitigar esses riscos, as equipes de segurança devem aumentar a conscientização sobre o comportamento de auto-sincronização e considerar desativar o KFM onde não for necessário.