Protection 📂 Bloquer l’exploitation de OneDrive pour la persistance malveillante

[Sylvain*]

Bloquer l’exploitation de OneDrive pour la persistance malveillante

Introduction

Des attaquants exploitent OneDrive pour établir une persistance post-intrusion en abusant des fonctionnalités de synchronisation ou en déposant des charges malveillantes dans des répertoires synchronisés. Cette méthode permet de restaurer un contrôle après nettoyage du poste.

---

Prérequis

• Connaissance de Microsoft OneDrive Entreprise et personnel

• Accès aux consoles Intune et Microsoft 365 Defender

• Maîtrise des stratégies de groupe et PowerShell

---

Niveau de difficulté

• Étape #1 : Identifier les points d’entrée dans OneDrive

• Étape #2 : Bloquer l’exécution depuis les répertoires synchronisés

• Étape #3 : Activer l’audit des changements de fichiers critiques

• Étape #4 : Surveiller les accès anormaux ou suspects

• Étape #5 : Appliquer des politiques de sécurisation OneDrive

---

Les Avantages

• Étape #1 : Identification précoce des vecteurs d’abus

• Étape #2 : Neutralisation des scripts malveillants

• Étape #3 : Traçabilité complète des modifications

• Étape #4 : Alerte sur les usages non légitimes

• Étape #5 : Conformité renforcée avec les standards Microsoft

---

Les Inconvénients

• Étape #1 : Complexité à distinguer les usages légitimes

• Étape #2 : Risque de faux positifs sur des fichiers métiers

• Étape #3 : Volume important de logs à traiter

• Étape #4 : Dépendance à la supervision centralisée

• Étape #5 : Administration technique avancée requise

---

Étape #1

Identifier les répertoires

C Users Nom OneDrive

exposés

Lister les fichiers exécutables synchronisés avec

dir /s *.exe *.bat *.ps1

Rechercher des fichiers

lnk

ou

autorun.inf

dans OneDrive

Repérer les fichiers exécutés via

startup folder

pointant vers OneDrive

---

Étape #2

Créer une règle AppLocker interdisant l’exécution dans

OneDrive

Appliquer la règle par GPO ou via Intune

Tester avec

Get AppLockerPolicy -Effective -XML

Compléter avec une règle Attack Surface Reduction

Block Office from creating child processes

---

Étape #3

Activer l’audit sur

File System Object Access

Configurer les audits avancés sur le dossier OneDrive

Surveiller les événements

4663

en lecture écriture exécution

Exporter les logs vers

Microsoft Sentinel

pour corrélation

---

Étape #4

Utiliser

Defender for Endpoint

pour tracer les processus dans OneDrive

Activer

OneDrive suspicious activity detection

Générer une alerte sur modification anormale de fichiers Office

Corréler avec les journaux de synchronisation

%localappdata%\Microsoft\OneDrive\logs

---

Étape #5

Appliquer une stratégie Intune

Block Personal OneDrive accounts

Activer

Known Folder Move policy

avec restrictions

Restreindre les types de fichiers autorisés à la synchronisation

Supprimer automatiquement les fichiers suspects avec

Defender AV automatic remediation

---

Astuce

Bloquez l’exécution de tout fichier depuis

OneDrive Temp Upload

en combinant AppLocker et une règle de contrôle de dossier contrôlé

---

Mise en garde

Un fichier déposé dans OneDrive personnel peut réapparaître après nettoyage local. Désactivez la synchronisation automatique sur les postes sensibles

---

Conseil

Implémentez une stratégie d’analyse automatique AV cloud delivered protection pour scanner chaque fichier dès synchronisation avec OneDrive

---

Solutions alternatives

• securiser onedrive persistences

• app locker onedrive path

• onedrive detection attaque dossier synchronisé

---

Références utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion

OneDrive est un vecteur de persistance efficace pour les attaquants si les exécutions et synchronisations ne sont pas maîtrisées. En appliquant des restrictions d’exécution un audit renforcé et des politiques Intune adaptées vous limitez fortement les risques d’abus.