Varonis Threat Labs araştırmacıları, saldırganların şirketlerin SharePoint sunucusundan gizli veri ve dosya sızdırma amacıyla kullanabileceği iki tekniği ortaya çıkardı.
“Bu teknikler, indirmeleri daha az şüpheli erişim ve senkronizasyon olayları olarak gizleyerek bulut erişim güvenlik aracıları, veri kaybı önleme ve SIEM’ler gibi geleneksel araçların tespit ve uygulama politikalarını atlayabilir” dediler.
Teknikler ve neden işe yarayabilecekleri
Microsoft SharePoint, kuruluşlar tarafından çalışanların işbirliğini kolaylaştırmak, belge/içerik yönetimini ve depolamayı basitleştirmek, kurumsal bilgi ve uygulamalara erişilebilecek bir intranet portalı oluşturmak ve daha fazlası için kullanılır.
Bu iki teknik, bir çalışanın hesabını ele geçiren bir tehdit aktörü veya içeriden kötü niyetli bir kişi tarafından kullanılabilir.
Saldırganlar iki yoldan biriyle gizlice veri sızdırabilir:
- Dosyaların yerel bir kopyasına erişmek ve kaydetmek için SharePoint’teki “Masaüstü Uygulamasında Aç” özelliğini kullanarak veya bunlara belirli bir bağlantı aracılığıyla doğrudan erişerek
- Dosyaları SharePoint’ten indirerek ancak tarayıcının Kullanıcı Aracısını değiştirerek Microsoft SkyDriveSync
Tehdit aktörleri, PowerShell’i SharePoint istemci nesne modeli (CSOM) ile birleştirerek, dosyayı buluttan alan ve indirme günlüğünde bir ayak izi bırakmadan yerel bilgisayara kaydeden bir komut dosyası yazabilir. Araştırmacılar, bu komut dosyasının tüm SharePoint sitesini eşleyecek ve otomasyon kullanılarak tüm dosyaları yerel makineye indirecek şekilde genişletilebileceğini belirtti.
“Tarayıcının Kullanıcı Aracısını değiştirerek dosyaları GUI veya Microsoft Graph API gibi geleneksel yöntemlerle indirmek mümkündür” diye açıkladılar ve bu eylemlerin bir PowerShell betiği aracılığıyla da otomatikleştirilebileceğini eklediler.
Her iki durumda da, eylemler “dosya indirme” günlüklerine değil, yalnızca “dosya erişimi” ve/veya “dosya senkronizasyonu” günlüklerine kaydedilir ve genellikle indirme günlüklerine odaklanan algılama kurallarını tetikleme olasılığı düşüktür.
Veri sızıntısını tespit etme tavsiyesi (bir düzeltme yayınlanana kadar)
Araştırmacılar bulgularını Kasım 2023’te Microsoft ile paylaştılar ve şirket, güvenlik açıklarının düzeltileceğini söyledi; ancak bu güvenlik açıklarının yalnızca orta derecede ciddi olduğunu düşündükleri için hemen değil.
“Dosyanın uygulamada açıldığını belirten yeni bir günlük eklemek olası bir düzeltme olabilir. Varonis Threat Labs Güvenlik Araştırma Ekibi lideri Eric Saraga, Help Net Security’ye verdiği demeçte, “Bu, biraz davranış analiziyle birleştiğinde, dosyaların sızdırılıp sızdırılmadığını belirlemeye yardımcı olabilir” dedi.
Bu arada kuruluşların erişim günlüklerini daha yakından takip etmesi ve senkronizasyon olaylarını, olağandışı davranışlar (daha büyük hacim, olağandışı cihazlar, yeni coğrafi konum vb.) tarafından tetiklenmesi gereken yeni algılama kurallarına dahil etmesi gerekir.