Security-Alert: Datenexfiltration auf SharePoint

Security-Alert: Datenexfiltration auf SharePoint

Beitrag teilen

Ein bekannter IT-Sicherheits-Anbieter hat zwei Techniken in SharePoint aufgedeckt, mit denen User sensible Daten exfiltrieren können. Unternehmen sollten die Protokolle der Zugriffsereignisse in SharePoint und OneDrive deshalb genau überprüfen.

Die Sicherheitsforscher der Varonis Threat Labs haben zwei Techniken in SharePoint entdeckt, die es Usern ermöglichen, Audit-Protokolle zu umgehen und Download-Ereignisse zu verschleiern. Auf diese Weise können sensitive Daten exfiltriert werden, da Tools wie Cloud Access Security Brokers (CASB), Data Loss Prevention (DLP) und SIEMs die Downloads als weniger verdächtige Zugriffs- und Synchronisierungsereignisse einstufen.

Anzeige

Bei der ersten Technik wird der Code verwendet, der die Funktion „In der App öffnen“ in SharePoint aktiviert, um auf Dateien zuzugreifen und sie herunterzuladen. Dabei wird nur das Zugriffsereignis (und nicht der Download) im Prüfprotokoll der Datei vermerkt. Diese Methode kann manuell oder automatisiert über ein PowerShell-Skript ausgeführt werden und ermöglicht die schnelle Exfiltration vieler Dateien. Die zweite Technik nutzt den User-Agenten für Microsoft SkyDriveSync, um Dateien oder sogar ganze Websites herunterzuladen, wobei die Ereignisse fälschlicherweise als Dateisynchronisationen und nicht als Downloads gekennzeichnet werden.

Ausnutzung der „In der App öffnen“-Funktion auf SharePoint

Cyberkriminelle können es sich zunutze machen, dass in der entsprechenden App geöffnete SharePoint-Dateien kein „FileDownloaded“-Log erzeugen, auch wenn sie auf den Computer heruntergeladen wird. Durch die Kombination von PowerShell mit dem SharePoint-Clientobjektmodell (CSOM) können Angreifer ein Skript schreiben, das die Datei aus der Cloud abruft und auf dem lokalen Computer speichert, ohne eine Download-Protokollspur zu hinterlassen. Dieses Skript kann zudem erweitert werden, um eine gesamte SharePoint-Website abzubilden und mithilfe der Automatisierung alle Dateien auf den lokalen Rechner herunterzuladen. Ganz unsichtbar bleiben die Aktivitäten jedoch nicht: Bei dieser Methode werden zwar keine Download-Protokolle, aber Zugriffsprotokolle erstellt, die zur Erkennung solcher Aktivitäten verwendet werden können. Gleichwohl können solche Aktivitäten von Erkennungsregeln, die sich auf Download-Protokolle konzentrieren, relativ unbemerkt bleiben.

Ausnutzung der Datensynchronisation mit OneDrive

Cyberkriminelle können darüber hinaus auch die Synchronisation zwischen SharePoint und OneDrive zur diskreten Exfiltration von Daten verwenden. Durch Ändern des User-Agenten des Browsers ist es möglich, Dateien über herkömmliche Methoden wie die grafische Benutzeroberfläche oder die Microsoft Graph API herunterzuladen und sie in den Protokollen als Sync-Ereignisse „FileSyncDownloadedFull“ anstelle der Standard-Download-Ereignisse „FileDownloaded“ erscheinen zu lassen. Dies kann auch über ein PowerShell-Skript automatisiert werden. Diese Taktik ist besonders effektiv, wenn die Erkennung bösartiger Dateidownloads so konfiguriert ist, dass Synchronisierungsereignisse ignoriert werden. Entsprechend können durch Spoofing des User-Agenten diese Erkennungen umgangen werden. Bei dieser Methode werden keine Zugriffsprotokolle erstellt. Sie ist also wesentlich subtiler als die „In der App öffnen“-Taktik und ermöglicht es Angreifern, Daten zu exfiltrieren, ohne Verdacht zu erregen.

Empfehlungen um Datenexfiltration zu erkennen

„Unsere Threat Labs haben gezeigt, dass Download-Logs ein unzuverlässiger Indikator für verdächtige Aktivitäten und einfach zu umgehen sind“, erklärt Volker Sommer, Regional Sales Director DACH von Varonis. „Sicherheitsverantwortliche sollten das Nutzer- und Datenverhalten ganzheitlich beobachten und bewerten und dabei möglichst viel Kontext einbeziehen. Intelligente DSPM-Lösungen sind hierzu in der Lage und können verdächtiges Verhalten automatisiert stoppen.“

Um Datenexfiltrationen mittels der beiden neuen Techniken zu erkennen, sollten nicht nur die Download-Logs sondern auch Zugriffsprotokolle betrachtet werden. So können große und ungewöhnliche Zugriffe auf nicht autorisierte Downloads und mögliche Datenexfiltration hindeuten.

Wenn vorhandene Erkennungssysteme so konfiguriert sind, dass sie Synchronisierungsereignisse nicht einbeziehen, müssen neue Erkennungsregeln erstellt werden, die dies tun.

Neue Erkennungsregeln aufstellen

Sicherheitsverantwortliche können sich nicht allein auf Audit-Protokolle verlassen, um festzustellen, ob es sich bei Synchronisierungsereignissen um legitime oder getarnte Download-Aktivitäten handelt. Stattdessen sollten die Erkennungsregeln Verhaltensmuster berücksichtigen, die Folgendes beinhalten:

  • Die üblichen Geräte für Synchronisierungsvorgänge
  • Die üblichen geographischen Standorte bei Synchronisierungen
  • Die spezifischen Ordner, die typischerweise mit dem Konto eines Benutzers synchronisiert werden

Durch die Analyse dieser Verhaltensparameter können Sicherheitsverantwortliche Anomalien erkennen, die darauf hindeuten, dass jemand die Synchronisierungsereignisse manipuliert. Eine unerwartete Spitze bei der Synchronisierungsaktivität von einem Gerät, das nicht häufig verwendet wird, oder die Synchronisierung ungewöhnlich großer Mengen sensitiver Ordner, die nicht Teil des normalen Arbeitsablaufs des Benutzers sind, könnten beispielsweise Warnsignale sein.

Mehr bei Varonis.de

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen

Digitale Zertifikate mit verkürzter Lebensdauer

Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem ➡ Weiterlesen