Pesquisadores descobriram duas técnicas que poderiam permitir que atacantes burlassem os logs de auditoria ou gerassem entradas menos severas ao baixar arquivos do SharePoint.
O Microsoft SharePoint é uma plataforma colaborativa baseada na web que se integra ao Microsoft Office e 365, primordialmente como um sistema de gerenciamento de documentos e armazenamento de dados.
Muitas empresas o utilizam para gerenciamento de documentos e colaboração, criação de websites e intranets corporativas, automação de fluxos de trabalhos complexos e aplicações de gerenciamento de conteúdo empresarial.
Devido à sensibilidade dos dados do SharePoint, muitas empresas auditam eventos sensíveis, como o download de dados, para acionar alertas em ferramentas de segurança de acesso à nuvem, ferramentas de prevenção de perda de dados e plataformas de gerenciamento de eventos e informações de segurança (SIEMs).
Pesquisadores do Varonis Threat Labs desenvolveram duas técnicas simples que permitem aos usuários burlar logs de auditoria ou gerar eventos menos sensíveis ao fazer o download de dados de uma certa forma ou disfarçá-lo como ações de sincronização de dados.
A primeira técnica descrita no relatório do Varonis aproveita-se do recurso "Open in App" do SharePoint, que permite aos usuários abrir documentos com aplicativos como o Microsoft Word em vez de usar o navegador web, que é a opção padrão.
Utilizar esse recurso não gera um evento "FileDownloaded" nos logs de auditoria do SharePoint, mas sim cria um evento "Access" que os administradores podem ignorar.
Abrir o arquivo de um local na nuvem cria um comando shell com a URL não expirante da localização do arquivo no endpoint da nuvem, o qual alguém pode usar para baixar o arquivo sem restrições.
O Varonis também nota que o uso indevido de "Open in App" pode ser tanto manual quanto automatizado, usando um script PowerShell personalizado que poderia permitir a alguém exfiltrar grandes listas de arquivos rapidamente.
A segunda técnica envolve a spoofing da string User-Agent das solicitações de acesso ao arquivo para imitar o Microsoft SkyDriveSync, um serviço usado para sincronização de arquivos entre o SharePoint e o computador local do usuário.
Esse truque faz com que os downloads de arquivos realizados via navegador ou Microsoft Graph API apareçam nos logs como eventos de sincronização de dados ("FileSyncDownloadedFull"), reduzindo a probabilidade de escrutínio pelas equipes de segurança.
Neste caso, também, a alteração da string User-Agent e subsequente exfiltração de arquivos podem ser feitas manualmente ou via script PowerShell para automatizar o processo.
O Varonis divulgou esses bugs em novembro de 2023, e a Microsoft adicionou os defeitos a um backlog de correções para solução futura.
Contudo, as questões foram classificadas como de severidade moderada, então não receberão correções imediatas.
Portanto, administradores do SharePoint devem estar cientes desses riscos e aprender a identificar e mitigá-los até que as correções estejam disponíveis.
O Varonis recomenda monitorar volumes altos de atividade de acesso em curto espaço de tempo e a introdução de novos dispositivos de localizações incomuns, que poderiam ser sinais de exfiltração de dados não autorizada.
Além disso, recomenda-se que equipes de segurança examinem eventos de sincronização por anomalias em frequência e volumes de dados e tentem identificar padrões de atividade incomuns.
O BleepingComputer entrou em contato com a Microsoft para saber mais sobre seus planos para tratar os problemas apresentados pelo Varonis, e um porta-voz enviou a seguinte declaração:
Atualização 10/04 - Adicionada declaração da Microsoft
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...