Forscher der Varonis Threat Labs haben zwei Möglichkeiten entdeckt, wie sich legitime Funktionen in SharePoint missbräuchlich verwenden lassen. Damit könnten in SharePoint Audit-Protokolle umgangen und selbst sehr große Downloads so verschleiert werden, dass viele gängige Tools für CASB, Data Loss Prevention (DLP) und SIEM-Systeme sie als unverdächtige Zugriffs- und Synchronisierungsereignisse einstufen, warnen die Security-Experten.
"Bis zur Bereitstellung eines Patches empfiehlt Varonis Unternehmen, die Zugriffsereignisse in ihren SharePoint- und OneDrive-Auditprotokollen genau auf ungewöhnliche Zugriffsaktivitäten, Datenvolumen, neue Geräte oder Geostandorte zu überprüfen", teilt das Unternehmen mit.
Ausnutzung der Funktion "In der App öffnen"
Laut Varonis lässt sich die Funktion "In der App öffnen" in SharePoint aktivieren, um auf Dateien zuzugreifen und sie herunterzuladen. Im Prüfprotokoll der Datei werde dabei nur das Zugriffsereignis, nicht jedoch der Download vermerkt.
Da diese Methode auch automatisiert über ein PowerShell-Skript ausgeführt werden kann, ermögliche sie die schnelle Exfiltration vieler Dateien, warnt Varonis. Cyberkriminelle könnten es sich zunutze machen, dass in der App geöffnete SharePoint-Dateien kein "FileDownloaded"-Log erzeugen, selbst wenn sie auf den Computer heruntergeladen wurden.
"Durch die Kombination von PowerShell mit dem SharePoint-Clientobjektmodell (CSOM) können Angreifer ein Skript schreiben, das die Datei aus der Cloud abruft und auf dem lokalen Computer speichert, ohne eine Download-Protokollspur zu hinterlassen", erklärt Varonis. Dieses Skript lasse sich so erweitern, dass sich eine gesamte SharePoint-Website abbilden lässt und mithilfe der Automatisierung alle Dateien auf den lokalen Rechner heruntergeladen werden. Auch wenn keine Download-Protokolle erstellt werden, bieten doch die Zugriffsprotokolle die Möglichkeit, solche Aktivitäten zu erkennen.
Ausnutzung der Datensynchronisation mit OneDrive
Die zweite Exfiltrations-Methode nutzt den User-Agenten für Microsoft SkyDriveSync, um Dateien oder ganze Websites herunterzuladen. Die Ereignisse werden dabei fälschlicherweise als Dateisynchronisationen statt als Downloads gekennzeichnet.
Darüber hinaus kann auch die Synchronisation zwischen SharePoint und OneDrive verwendet werden, um unauffällig Daten abzuziehen. "Durch Ändern des User-Agenten des Browsers ist es möglich, Dateien über herkömmliche Methoden wie die grafische Benutzeroberfläche oder die Microsoft Graph API herunterzuladen und sie in den Protokollen als Sync-Ereignisse 'FileSyncDownloadedFull' anstelle der Standard-Download-Ereignisse 'FileDownloaded' erscheinen zu lassen", erklärt Varonis. Auch dieser Vorgang kann über ein PowerShell-Skript automatisiert werden.
Dieses Vorgehen sei besonders effektiv, wenn bei der Erkennung unerwünschter Dateidownloads Synchronisierungsereignisse ignoriert werden. Zudem können laut Varonis diese Erkennungen durch Spoofing des User-Agenten umgangen werden. Da bei dieser Methode keine Zugriffsprotokolle erstellt würden, sei sie noch wesentlich subtiler als die "In der App öffnen"-Taktik und ermögliche es Angreifern, Daten zu exfiltrieren, ohne Verdacht zu erregen.
Um Datenexfiltrationen mittels der beiden Techniken zu erkennen, sollten Verantwortliche nicht nur die Download-Logs sondern auch die Zugriffsprotokolle im Blick. So können große und ungewöhnliche Zugriffe auf nicht autorisierte Downloads und mögliche Datenexfiltration frühzeitig erkannt werden.
"Eine unerwartete Spitze bei der Synchronisierungsaktivität von einem Gerät, das nicht häufig verwendet wird, oder die Synchronisierung ungewöhnlich großer Mengen sensitiver Ordner, die nicht Teil des normalen Arbeitsablaufs des Benutzers sind, könnten beispielsweise Warnsignale sein", erklärt Varonis. Details zu den Exfiltrations-Methoden und weitergehende Empfehlungen für Gegenmaßnahmen gibt Varonis in einem Blog-Beitrag.
Boll erweitert Portfolio um Varonis