Warnung: Exfiltrations-Erkennung in SharePoint kann umgangen werden

ST_sp3

Die Sicherheitsforscher der Varonis Threat Labs haben zwei Techniken in SharePoint entdeckt, die es ermöglichen, Audit-Protokolle zu umgehen und Download-Ereignisse zu verschleiern. Auf diese Weise können sensitive Daten exfiltriert werden, da Tools wie Cloud Access Security Brokers (CASB), Data Loss Prevention (DLP) und SIEMs die Downloads als weniger verdächtige Zugriffs- und Synchronisierungsereignisse einstufen. Bis zur Bereitstellung eines Patches empfiehlt Varonis Unternehmen, die Zugriffsereignisse in ihren SharePoint- und OneDrive-Auditprotokollen genau auf ungewöhnliche Zugriffsaktivitäten, Datenvolumen, neue Geräte oder Geostandorte zu überprüfen.

Bei der ersten Technik wird der Code verwendet, der die Funktion „In der App öffnen“ in SharePoint aktiviert, um auf Dateien zuzugreifen und sie herunterzuladen. Dabei wird nur das Zugriffsereignis (und nicht der Download) im Prüfprotokoll der Datei vermerkt. Diese Methode kann manuell oder automatisiert über ein PowerShell-Skript ausgeführt werden und ermöglicht die schnelle Exfiltration vieler Dateien. Die zweite Technik nutzt den User-Agenten für Microsoft SkyDriveSync, um Dateien oder sogar ganze Websites herunterzuladen, wobei die Ereignisse fälschlicherweise als Dateisynchronisationen und nicht als Downloads gekennzeichnet werden.

Ausnutzung der „In der App öffnen“-Funktion

Cyberkriminelle können es sich zunutze machen, dass in der entsprechenden App geöffnete SharePoint-Dateien kein „FileDownloaded“-Log erzeugen, auch wenn sie auf den Computer heruntergeladen wird. Durch die Kombination von PowerShell mit dem SharePoint-Clientobjektmodell (CSOM) können Angreifer ein Skript schreiben, das die Datei aus der Cloud abruft und auf dem lokalen Computer speichert, ohne eine Download-Protokollspur zu hinterlassen. Dieses Skript kann zudem erweitert werden, um eine gesamte SharePoint-Website abzubilden und mithilfe der Automatisierung alle Dateien auf den lokalen Rechner herunterzuladen. Ganz unsichtbar bleiben die Aktivitäten jedoch nicht: Bei dieser Methode werden zwar keine Download-Protokolle, aber Zugriffsprotokolle erstellt, die zur Erkennung solcher Aktivitäten verwendet werden können. Gleichwohl können solche Aktivitäten von Erkennungsregeln, die sich auf Download-Protokolle konzentrieren, relativ unbemerkt bleiben.

Ausnutzung der Datensynchronisation mit OneDrive

Cyberkriminelle können darüber hinaus auch die Synchronisation zwischen SharePoint und OneDrive zur diskreten Exfiltration von Daten verwenden. Durch Ändern des User-Agenten des Browsers ist es möglich, Dateien über herkömmliche Methoden wie die grafische Benutzeroberfläche oder die Microsoft Graph API herunterzuladen und sie in den Protokollen als Sync-Ereignisse „FileSyncDownloadedFull“ anstelle der Standard-Download-Ereignisse „FileDownloaded“ erscheinen zu lassen. Dies kann auch über ein PowerShell-Skript automatisiert werden. Diese Taktik ist besonders effektiv, wenn die Erkennung bösartiger Dateidownloads so konfiguriert ist, dass Synchronisierungsereignisse ignoriert werden. Entsprechend können durch Spoofing des User-Agenten diese Erkennungen umgangen werden. Bei dieser Methode werden keine Zugriffsprotokolle erstellt. Sie ist also wesentlich subtiler als die „In der App öffnen“-Taktik und ermöglicht es Angreifern, Daten zu exfiltrieren, ohne Verdacht zu erregen.

Empfehlungen

„Unsere Threat Labs haben gezeigt, dass Download-Logs ein unzuverlässiger Indikator für verdächtige Aktivitäten und einfach zu umgehen sind“, erklärt Volker Sommer, Regional Sales Director DACH von Varonis. „Sicherheitsverantwortliche sollten das Nutzer- und Datenverhalten ganzheitlich beobachten und bewerten und dabei möglichst viel Kontext einbeziehen. Intelligente DSPM-Lösungen sind hierzu in der Lage und können verdächtiges Verhalten automatisiert stoppen.“

Um Datenexfiltrationen mittels der beiden neuen Techniken zu erkennen, sollten nicht nur die Download-Logs sondern auch Zugriffsprotokolle betrachtet werden. So können große und ungewöhnliche Zugriffe auf nicht autorisierte Downloads und mögliche Datenexfiltration hindeuten.

Wenn vorhandene Erkennungssysteme so konfiguriert sind, dass sie Synchronisierungsereignisse nicht einbeziehen, müssen neue Erkennungsregeln erstellt werden, die dies tun.

Sicherheitsverantwortliche können sich nicht allein auf Audit-Protokolle verlassen, um festzustellen, ob es sich bei Synchronisierungsereignissen um legitime oder getarnte Download-Aktivitäten handelt. Stattdessen sollten die Erkennungsregeln Verhaltensmuster berücksichtigen, die Folgendes beinhalten:

  • Die üblichen Geräte für Synchronisierungsvorgänge
  • Die üblichen geographischen Standorte bei Synchronisierungen
  • Die spezifischen Ordner, die typischerweise mit dem Konto eines Benutzers synchronisiert werden

Durch die Analyse dieser Verhaltensparameter können Sicherheitsverantwortliche Anomalien erkennen, die darauf hindeuten, dass jemand die Synchronisierungsereignisse manipuliert. Eine unerwartete Spitze bei der Synchronisierungsaktivität von einem Gerät, das nicht häufig verwendet wird, oder die Synchronisierung ungewöhnlich großer Mengen sensitiver Ordner, die nicht Teil des normalen Arbeitsablaufs des Benutzers sind, könnten beispielsweise Warnsignale sein.

Weitere Informationen und Details finden sich im entsprechenden Blog-Beitrag von Varonis.