Új SharePoint hibák segítenek a hackereknek, hogy észrevétlenül lopjanak fájlokat

Editors' Pick
Yanac ,

A Varonis Threat Labs kutatói két olyan technikát azonosítottak, amelyek potenciálisan veszélyeztetik a Microsoft SharePoint – a dokumentumkezelés, együttműködés és adattárolás széles körben használt platformja – ellenőrzési naplóinak integritását. A SharePoint számos vállalat számára szerves részét képezi a weboldalak, vállalati intranetek alapját képezi, így az adatok biztonsága kiemelt fontosságú. Ezek a felfedezések lehetővé tehetik a támadók számára, hogy vagy teljesen megkerüljék az ellenőrzési naplókat, vagy kisebb súlyosságú naplóbejegyzéseket generáljanak a jogosulatlan fájlletöltések során.

Az első technika a SharePoint “Megnyitás alkalmazásban” funkcióját használja ki, amely lehetővé teszi a felhasználók számára, hogy az alapértelmezett webböngésző felület megkerülésével asztali alkalmazásokkal, például a Microsoft Worddel nyissanak meg dokumentumokat. Ez a módszer nem vált ki “FileDownloaded” eseményt az ellenőrzési naplókban, ehelyett “Access” eseményt rögzít, amit a rendszergazdák figyelmen kívül hagyhatnak. A Varonis kiemeli, hogy ez a módszer, amely manuálisan vagy egy PowerShell szkript segítségével automatizálható, lényegében csendes adatszivárgást tesz lehetővé azáltal, hogy nem lejáró URL-címeket generál a közvetlen fájlletöltésekhez anélkül, hogy feltűnő naplóbejegyzéseket generálna.

A második technika a User-Agent karakterlánc megváltoztatását jelenti a fájlelérési kérésekben, hogy utánozzák a Microsoft SkyDriveSync szolgáltatást, amelyet a SharePoint és a helyi eszköz közötti fájlszinkronizálásra használnak. E manipuláció hatására a letöltések adatszinkronizálási műveletként (“FileSyncDownloadedFull”) kerülnek naplózásra, ami jelentősen csökkenti azok láthatóságát a biztonsági felügyeleti csoportok számára. Ez a technika manuálisan vagy egy PowerShell szkript segítségével automatizálható is, megkönnyítve a lopakodó adatszerzést azáltal, hogy rutinszerű szinkronizálási tevékenységnek tűnik.

Annak ellenére, hogy a Varonis 2023 novemberében jelentette ezeket a sebezhetőségeket a Microsoftnak, a problémákat közepes súlyosságúnak minősítették, és azonnali javítási tervek nélkül a javítási hátralékhoz adták hozzá. A Varonis ideiglenes enyhítő intézkedéseket javasol, beleértve a szokatlan hozzáférési minták megfigyelését és a szinkronizálási események vizsgálatát anomáliák után. A Microsoft a megállapításokra adott válaszában azt állítja, hogy a SharePoint ellenőrzési funkciói az elvárásoknak megfelelően működnek, és azt tanácsolja a biztonsági csapatoknak, hogy az ellenőrzési események – köztük a FileAccessed, a FileDownloaded és a szinkronizálással kapcsolatos jelzések – kombinációját használják a jogosulatlan fájlhozzáférés hatékony ellenőrzésére. Ez a helyzet aláhúzza az összetett IT-környezetek biztosításának folyamatos kihívását az adatszivárgás kifinomult módszereivel szemben.

(forrás)

You May Also Like

Leggyakrabban kihasznált sérülékenységek 2023-ban

TrainedR

VulnCheck: 2024-es sérülékenység kihasználási trendek

TrainedR

Rosszindulatú fájlok futtatása Windows-on LibreOffice sérülékenység kihasználásával

TrainedR