新的隐蔽 SharePoint 数据泄露技术被揭露

Varonis 威胁实验室的研究人员发现了攻击者可以用来从公司的 SharePoint 服务器中窃取秘密数据和文件的两种技术。

他们指出：“这些技术可以通过将下载隐藏为不太可疑的访问和同步事件，绕过传统工具的检测和执行策略，例如云访问安全代理、数据丢失防护和 SIEM。”

这些技术以及它们为何有效

组织使用 Microsoft SharePoint 来促进员工协作、简化文档/内容管理和存储、建立可访问企业信息和应用程序的 Intranet 门户等等。

危害员工帐户的威胁行为者或恶意内部人员都可以利用这两种技术。

攻击者可以通过以下两种方式之一秘密窃取数据：

• 通过使用 SharePoint 中的“在桌面应用程序中打开”功能来访问和保存文件的本地副本，或者通过特定链接直接访问它们
• 通过从 SharePoint 下载文件，但将浏览器的用户代理更改为 微软SkyDriveSync

“通过将 PowerShell 与 SharePoint 客户端对象模型 (CSOM) 相结合，威胁参与者可以编写一个脚本，从云中获取文件并将其保存到本地计算机，而不会留下下载日志足迹。 该脚本可以扩展以映射整个 SharePoint 站点，并使用自动化将所有文件下载到本地计算机，”研究人员 著名的。

“通过更改浏览器的用户代理，可以通过传统方法（例如 GUI 或 Microsoft Graph API）下载文件，”他们解释道，并补充说这些操作也可以通过 PowerShell 脚本自动执行。

在这两种情况下，这些操作都不会记录在“文件下载”日志中，而仅记录在“文件访问”和/或“文件同步”日志中，并且不太可能触发通常关注下载日志的检测规则。

数据泄露检测建议（直到发布修复程序）

研究人员已于 2023 年 11 月与微软分享了他们的发现，该公司表示将修复这些漏洞，但不会立即修复，因为他们认为这些漏洞只是中等严重。

“一个潜在的解决方案可能是添加一个新日志，表明该文件已在应用程序中打开。 这与一些行为分析相结合，可以帮助确定文件是否被泄露。”Varonis 威胁实验室安全研究团队负责人 Eric Saraga 告诉 Help Net Security。

与此同时，组织应密切关注访问日志，并将同步事件纳入新的检测规则，这些规则应由异常行为（更大的流量、异常设备、新的地理位置等）触发。