Araştırmacılar, saldırganların SharePoint'ten dosya indirirken denetim günlüklerini atlamasını veya daha az ciddi girişler üretmesini sağlayabilecek iki teknik keşfettiler.
Microsoft SharePoint, öncelikle bir belge yönetimi ve veri depolama sistemi olarak Microsoft Office ve 365 ile entegre olan Web tabanlı bir işbirlikçi platformdur.
Birçok şirket bunu belge yönetimi ve işbirliği için kullanıyor, web siteleri ve kurumsal intranetler oluşturuyor, karmaşık iş akışlarını otomatikleştiriyor ve kurumsal içerik yönetimi uygulamaları.
SharePoint verilerinin hassasiyeti nedeniyle, birçok şirket bulut erişim güvenlik araçları, veri kaybı önleme araçları ve güvenlik bilgileri ve etkinlik yönetimi platformlarında (SIEMS) uyarıları tetiklemek için verilerin indirilmesi gibi hassas etkinlikleri denetler.
Varonis tehdit laboratuvarlarındaki araştırmacılar, kullanıcıların verileri belirli bir şekilde indirerek veya veri senkronizasyon eylemleri olarak gizleyerek denetim günlüklerini atlamalarını veya daha az hassas olaylar üretmesini sağlayan iki basit teknik geliştirdiler.
Varonis'in raporunda açıklanan ilk teknik, SharePoint'in "App in App" özelliğinden yararlanır, bu da kullanıcıların varsayılan seçenek olan web tarayıcısını kullanmak yerine Microsoft Word gibi uygulamalarla belgeleri açmasına izin verir.
Bu özelliği kullanmak, SharePoint'in denetim günlüklerinde "dosya yüklü" bir etkinlik oluşturmaz, bunun yerine yöneticilerin göz ardı edebileceği bir "erişim" etkinliği oluşturur.
Dosyayı bir bulut konumundan açmak, dosyanın bulut uç noktasındaki konumundan, birisinin dosyayı kısıtlamadan indirmek için kullanabileceği bir kabuk komutu oluşturur.
Varonis ayrıca, "Uygulamada Open" in kötüye kullanılmasının, birisinin büyük dosya listelerini hızlı bir şekilde sunmasını sağlayabilecek özel bir PowerShell komut dosyası kullanarak hem manuel hem de otomatik olabileceğini not eder.
İkinci teknik, SharePoint ve bir kullanıcının yerel bilgisayarı arasında dosya senkronizasyonu için kullanılan bir hizmet olan Microsoft SkyDrivesync'i taklit etmek için dosya erişim isteklerinin kullanıcı ajanı dizesinin sahte olmasını içerir.
Bu hile, tarayıcı veya Microsoft Graph API aracılığıyla gerçekleştirilen dosya indirmelerinin günlüklerde veri senkronizasyonu etkinlikleri ("filesyncownloadoLEDFulL") olarak görünmesini sağlayarak güvenlik ekipleri tarafından inceleme olasılığını azaltır.
Bu durumda da, kullanıcı ajanı dizesinin ve sonraki dosya eksfiltrasyonunun değiştirilmesi, işlemi otomatikleştirmek için manuel olarak veya bir PowerShell komut dosyası aracılığıyla yapılabilir.
Varonis bu hataları Kasım 2023'te açıkladı ve Microsoft, gelecekteki düzeltme için kusurları bir yama birikimine ekledi.
Bununla birlikte, sorunlar orta şiddet olarak derecelendirildi, bu nedenle anında düzeltmeler almayacaklar. Bu nedenle, SharePoint yöneticileri bu risklerin farkında olmalı ve yamalar mevcut olana kadar bunları tanımlamayı ve hafifletmeyi öğrenmelidir.
Varonis, kısa bir zaman dilimi içinde yüksek hacimli erişim etkinliklerinin izlenmesini ve olağandışı yerlerden yeni cihazların tanıtılmasını önerir, bu da yetkisiz veri açığa çıkma belirtileri olabilir.
Ayrıca, güvenlik ekiplerinin frekans ve veri hacimlerinde anomaliler için senkronizasyon olaylarını incelemeleri ve olağandışı etkinlik modellerini tanımlamaya çalışması önerilir.
BleepingComputer, Varonis tarafından sunulan sorunları ele alma planları hakkında daha fazla bilgi edinmek için Microsoft'a ulaştı ve bir sözcü aşağıdaki ifadeyi gönderdi:
Bu raporun farkındayız ve müşterilerimizin harekete geçmesi gerekmiyor. Erişilen bir dosyayı tespit ederek ve bunu denetim günlüğü aracılığıyla rapor ederek ürünün beklendiği gibi performans gösterdiğini doğruladık.
Güvenlik ürünleri ve satıcılar, dosya erişimini izlemek için FileAccessed, FiledOwnloaded ve iki potansiyel senkronize ile ilgili sinyal kullanmalıdır. - Microsoft sözcüsü
Güncelleme 4/10 - Microsoft ifadesi eklendi
Microsoft Nisan 2024 Patch Salı 150 Güvenlik Kusurlarını Düzeltiyor, 67 RCE
Windows 10 KB5036892 Güncellemesi 23 yeni düzeltme, değişikliklerle yayınlandı
CISA Etiketleri Microsoft SharePoint RCE Hata Aktif olarak sömürüldüğü gibi
CISA: Kritik Microsoft SharePoint hatası artık aktif olarak sömürüldü
Microsoft Mart 2024 Patch Salı 60 Kusur, 18 RCE Bugs Düzeltiyor
Kaynak: Bleeping Computer