Schwachstellen in Sharepoint: Angreifer bleiben unentdeckt

Varonis Threat Labs hat zwei neue Techniken identifiziert, mit denen Nutzer in SharePoint Sicherheitsmechanismen umgehen und unbemerkt Dateien extrahieren können. Die Forscher entdeckten, dass bestimmte Handlungen in SharePoint die Auslösung von Download-Events vermeiden können, was eine unauffällige Exfiltration von Dateien ermöglicht. Diese Techniken könnten traditionelle Sicherheitstools wie Cloud-Zugriffssicherheits-Broker, Datenverlustpräventionssysteme (DLP) und SIEMs (Security Information and Event Management) unterlaufen, indem sie Downloads als weniger verdächtige Zugriffs- und Synchronisationsereignisse tarnen.

Die erste Methode nutzt die Funktion „Öffnen in App“ in SharePoint, um auf Dateien zuzugreifen und diese herunterzuladen, während im Audit-Log des Files lediglich ein Zugriffsereignis verzeichnet wird. Diese Methode kann manuell oder automatisiert über ein PowerShell-Skript ausgeführt werden, was eine schnelle Exfiltration vieler Dateien ermöglicht.

Die zweite Methode verwendet den User-Agent von Microsoft SkyDriveSync, um Dateien oder sogar ganze Websites herunterzuladen, während die Ereignisse fälschlicherweise als Dateisynchronisationen anstelle von Downloads gekennzeichnet werden.

Nach der Offenlegung durch Varonis-Forscher im November 2023 hat Microsoft diese Techniken als “moderates” Sicherheitsrisiko eingestuft und in ihr Patch-Backlog-Programm aufgenommen.

Obwohl SharePoint und OneDrive Unternehmen dabei unterstützen, den Dateizugriff für Mitarbeiter zu erleichtern, können falsch konfigurierte Berechtigungen unbeabsichtigt Nutzern einen umfassenderen Zugriff als nötig gewähren. Dies kann zu einer unbeabsichtigten Datenexposition führen, von der Bedrohungsakteure profitieren könnten, um Daten zu exfiltrieren.

Related Posts

Ransomwareangriff legt GBI-Genios Wirtschaftsdatenbank lahm

Am 8. April 2024 veröffentlichte die GBI-Genios Deutsche Wirtschaftsdatenbank GmbH, ein führender Anbieter von Wirtschafts- und Wissenschaftsinformationen, auf Linkedin, dass Sie Ziel eines massiven Ransomwareangriffs wurde. Der Ransomwareangriff hat die IT-Infrastruktur von GBI-Genios so stark beeinträchtigt, sodass die Systeme derzeit nicht erreichbar sind. Das Unternehmen hat bestätigt, dass der Wiederherstellungsprozess mehrere Tage in Anspruch nehmen wird. Ebenso sind die Kommunikationswege des Unternehmens betroffen, was den Informationsfluss an Kunden und Partner erschwert. Laut uns zugespielten Presse- und Kundeninformationen wurde die On-Premise VMware Virtualisierungsinfrastruktur durch VMware Bordmittel verschlüsselt. Es gibt aktuell keine Anzeichen, dass Clients oder andere Infrastruktursysteme betroffen sind und laut Aussage von GBI-Genios auch keine Anzeichen für einen Datenabfluss. Da die Systeme noch in einem abgeschalteten Zustand sind, können noch keine Aussagen zu betroffenen kundenspezifischen Useraccounts getroffen werden. Betroffen sind *.genios.de, *.wiso-net.de, *.ebib.genios.de.

Read More

Unit42 berichtet Anstieg von Malware-initiierten Schwachstellenscans

Eine Untersuchung von Palo Alto’s Unit42 hebt einen beunruhigenden Trend hervor: Malware-initiierte Schwachstellenscans nehmen zu. Im Gegensatz zu direkten Scans, die lange Zeit die Norm waren, nutzen Angreifer jetzt infizierte Hosts, um umfangreiche Scans durchzuführen und Schwachstellen in Netzwerken und Systemen zu identifizieren.

Read More

Lexmark Drucker durch Schwachstelle angreifbar

Lexmark hat wichtige Sicherheitsupdates für seine Druckergeräte herausgegeben, um zwei kritische Sicherheitslücken zu beheben. Die Updates adressieren Schwachstellen vom Typ Server Side Request Forgery (SSRF) und in der Buffer Overflow im Internet Printing Protocol (IPP), die in verschiedenen Lexmark-Geräten identifiziert wurden. Die erste Schwachstelle, gekennzeichnet als CVE-2023-50733, betrifft eine SSRF-Anfälligkeit in der Webdienstfunktion neuerer Lexmark-Geräte, mit einer CVSS-Basisbewertung von 8,6. Die zweite Schwachstelle, unter CVE-2023-50739 registriert, ist eine Pufferüberlaufschwachstelle im IPP verschiedener Lexmark-Geräte, mit einer CVSS-Basisbewertung von 8,8. Beide Schwachstellen ermöglichen es einem Angreifer, potenziell unautorisierten Code auszuführen oder das Gerät zu kompromittieren.

Read More