SharePoint’te ortaya çıkarılan iki yeni teknik, kötü niyetli aktörlerin geleneksel güvenlik önlemlerini atlamasına ve standart tespit mekanizmalarını tetiklemeden hassas verilere sızmasına olanak tanıyor.
Yasadışı dosya indirme işlemleri, zararsız faaliyetler olarak gizlenebilir ve bu da siber güvenlik savunmasının bunları tespit etmesini zorlaştırır. Bunu başarmak için sistemin özellikleri çeşitli şekillerde manipüle edilir.
Varonis Threat Labs’tan güvenlik araştırmacıları iki SharePoint tekniği keşfetti.
Uygulamada Aç Yöntemi
“Uygulamada Aç Yöntemi” olarak adlandırılan ilk teknik, kullanıcıların belgeleri doğrudan ilgili uygulamalarda açmasına olanak tanıyan SharePoint özelliğinden yararlanıyor.
Bu özellik kullanıcının rahatlığı için tasarlanmış olsa da, yanlışlıkla veri ihlalleri için bir boşluk yaratmıştır.
Saldırganlar, dosyalara erişmek ve indirmek için bu özelliğin temel kodunu kullanabilir ve dosyanın denetim günlüğünde yalnızca bir erişim olayını geride bırakabilir.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .
Ücretsiz Demoyu Deneyin
Bu ince ayak izi, tipik bir indirme olayına benzemediğinden kolaylıkla gözden kaçırılabilir.
Bu yöntemin kullanımı manuel olarak gerçekleştirilebilir veya bir PowerShell betiği aracılığıyla otomatikleştirilebilir.
Komut dosyası otomatikleştirildiğinde birçok dosyayı hızla dışarı sızdırabilir ve bu da potansiyel hasarı önemli ölçüde artırır.
Komut dosyası, dosyaları buluttan almak ve bunları yerel bir bilgisayara kaydetmek için SharePoint istemci nesne modelini (CSOM) kullanır; böylece bir indirme günlüğü girişi oluşturmaya gerek kalmaz.
SkyDriveSync Kullanıcı Aracısı
Varonis, ikinci tekniğin artık OneDrive olarak bilinen Microsoft SkyDriveSync için Kullanıcı Aracısı dizisinin manipülasyonunu içerdiğini söyledi.
Saldırganlar, senkronizasyon istemcisi kılığına girerek dosyaları ve hatta SharePoint sitelerinin tamamını indirebilir.
Bu indirmeler, gerçek indirmeler yerine dosya senkronizasyonu olayları olarak yanlış etiketlenir, dolayısıyla dosya indirmelerini algılamak ve günlüğe kaydetmek için tasarlanmış güvenlik önlemlerini atlar.
Bu yöntem özellikle sinsi çünkü çok büyük ölçekte veri sızdırmak için kullanılabiliyor ve senkronizasyon gizlemesi, güvenlik araçlarının yasal ve kötü amaçlı etkinlikler arasında ayrım yapmasını daha da zorlaştırıyor.
Bu tekniğin kullanılması, SharePoint ve OneDrive’ın senkronizasyon mekanizmalarının karmaşık bir şekilde anlaşılmasını sağlar; bu mekanizmalar, alarm vermeden bir kuruluştan sistematik olarak veri boşaltmak için kullanılabilir.
Microsoft’un Yanıt ve Güvenlik Düzeltme Eki Birikimi
Varonis araştırmacıları bu güvenlik açıklarını keşfettikten sonra Kasım 2023’te derhal Microsoft’a bildirdi. Microsoft, sorunu kabul etti ve bu güvenlik açıklarını “orta” güvenlik riskleri olarak sınıflandırdı.
Bunlar Microsoft’un yama biriktirme programına eklendi; bu da bir düzeltmenin yolda olduğunu ancak hemen kullanılamayabileceğini gösteriyor.
Bu tekniklerin keşfi, özellikle izinler yanlış yapılandırıldığında veya aşırı izin verildiğinde, SharePoint ve OneDrive ile ilişkili risklerin altını çiziyor.
Dosya paylaşımı ve işbirliği için bu hizmetlere güvenen kuruluşların, yetkisiz veri erişimi riskini en aza indirmek için erişim haklarını yönetme konusunda dikkatli ve proaktif olmaları gerekir.
Bu güvenlik açıklarıyla mücadele etmek için kuruluşların ek tespit stratejileri uygulamaları tavsiye edilir.
Olağandışı erişim olaylarının, özellikle de “Uygulamada Aç Yöntemi”nin kullanıldığını gösterenlerin izlenmesi çok önemlidir.
Benzer şekilde, senkronizasyon etkinliklerine göz kulak olmak ve bunların beklenen kullanıcı davranışıyla eşleştiğini doğrulamak, SkyDriveSync Kullanıcı Aracısı tekniğinin kötüye kullanımının belirlenmesine yardımcı olabilir.
Ayrıca kuruluşlar, SharePoint ve OneDrive ortamlarındaki izinlerin incelenmesine ve sıkılaştırılmasına öncelik vermelidir.
Düzenli denetimler ve güvenlik politikalarında yapılan güncellemeler, tehdit aktörlerinin bu tür güvenlik açıklarından yararlanmalarını ilk etapta önlemeye yardımcı olabilir.
Secure your emails in a heartbeat! To find your ideal email security vendor, Take a Free 30-Second Assessment.