Varonis Threat Labs hat zwei neue Techniken identifiziert, mit denen Nutzer in SharePoint Sicherheitsmechanismen umgehen und unbemerkt Dateien extrahieren können. Die Forscher entdeckten, dass bestimmte Handlungen in SharePoint die Auslösung von Download-Events vermeiden können, was eine unauffällige Exfiltration von Dateien ermöglicht. Diese Techniken könnten traditionelle Sicherheitstools wie Cloud-Zugriffssicherheits-Broker, Datenverlustpräventionssysteme (DLP) und SIEMs (Security Information and Event Management) unterlaufen, indem sie Downloads als weniger verdächtige Zugriffs- und Synchronisationsereignisse tarnen.
Die erste Methode nutzt die Funktion „Öffnen in App“ in SharePoint, um auf Dateien zuzugreifen und diese herunterzuladen, während im Audit-Log des Files lediglich ein Zugriffsereignis verzeichnet wird. Diese Methode kann manuell oder automatisiert über ein PowerShell-Skript ausgeführt werden, was eine schnelle Exfiltration vieler Dateien ermöglicht.
Die zweite Methode verwendet den User-Agent von Microsoft SkyDriveSync, um Dateien oder sogar ganze Websites herunterzuladen, während die Ereignisse fälschlicherweise als Dateisynchronisationen anstelle von Downloads gekennzeichnet werden.
Nach der Offenlegung durch Varonis-Forscher im November 2023 hat Microsoft diese Techniken als „moderates“ Sicherheitsrisiko eingestuft und in ihr Patch-Backlog-Programm aufgenommen.
Obwohl SharePoint und OneDrive Unternehmen dabei unterstützen, den Dateizugriff für Mitarbeiter zu erleichtern, können falsch konfigurierte Berechtigungen unbeabsichtigt Nutzern einen umfassenderen Zugriff als nötig gewähren. Dies kann zu einer unbeabsichtigten Datenexposition führen, von der Bedrohungsakteure profitieren könnten, um Daten zu exfiltrieren.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: