Security-Alert: Datenexfiltration auf SharePoint

Security-Alert: Datenexfiltration auf SharePoint

Beitrag teilen

Ein bekannter IT-Sicherheits-Anbieter hat zwei Techniken in SharePoint aufgedeckt, mit denen User sensible Daten exfiltrieren können. Unternehmen sollten die Protokolle der Zugriffsereignisse in SharePoint und OneDrive deshalb genau überprüfen.

Die Sicherheitsforscher der Varonis Threat Labs haben zwei Techniken in SharePoint entdeckt, die es Usern ermöglichen, Audit-Protokolle zu umgehen und Download-Ereignisse zu verschleiern. Auf diese Weise können sensitive Daten exfiltriert werden, da Tools wie Cloud Access Security Brokers (CASB), Data Loss Prevention (DLP) und SIEMs die Downloads als weniger verdächtige Zugriffs- und Synchronisierungsereignisse einstufen.

Anzeige

Bei der ersten Technik wird der Code verwendet, der die Funktion „In der App öffnen“ in SharePoint aktiviert, um auf Dateien zuzugreifen und sie herunterzuladen. Dabei wird nur das Zugriffsereignis (und nicht der Download) im Prüfprotokoll der Datei vermerkt. Diese Methode kann manuell oder automatisiert über ein PowerShell-Skript ausgeführt werden und ermöglicht die schnelle Exfiltration vieler Dateien. Die zweite Technik nutzt den User-Agenten für Microsoft SkyDriveSync, um Dateien oder sogar ganze Websites herunterzuladen, wobei die Ereignisse fälschlicherweise als Dateisynchronisationen und nicht als Downloads gekennzeichnet werden.

Ausnutzung der „In der App öffnen“-Funktion auf SharePoint

Cyberkriminelle können es sich zunutze machen, dass in der entsprechenden App geöffnete SharePoint-Dateien kein „FileDownloaded“-Log erzeugen, auch wenn sie auf den Computer heruntergeladen wird. Durch die Kombination von PowerShell mit dem SharePoint-Clientobjektmodell (CSOM) können Angreifer ein Skript schreiben, das die Datei aus der Cloud abruft und auf dem lokalen Computer speichert, ohne eine Download-Protokollspur zu hinterlassen. Dieses Skript kann zudem erweitert werden, um eine gesamte SharePoint-Website abzubilden und mithilfe der Automatisierung alle Dateien auf den lokalen Rechner herunterzuladen. Ganz unsichtbar bleiben die Aktivitäten jedoch nicht: Bei dieser Methode werden zwar keine Download-Protokolle, aber Zugriffsprotokolle erstellt, die zur Erkennung solcher Aktivitäten verwendet werden können. Gleichwohl können solche Aktivitäten von Erkennungsregeln, die sich auf Download-Protokolle konzentrieren, relativ unbemerkt bleiben.

Ausnutzung der Datensynchronisation mit OneDrive

Cyberkriminelle können darüber hinaus auch die Synchronisation zwischen SharePoint und OneDrive zur diskreten Exfiltration von Daten verwenden. Durch Ändern des User-Agenten des Browsers ist es möglich, Dateien über herkömmliche Methoden wie die grafische Benutzeroberfläche oder die Microsoft Graph API herunterzuladen und sie in den Protokollen als Sync-Ereignisse „FileSyncDownloadedFull“ anstelle der Standard-Download-Ereignisse „FileDownloaded“ erscheinen zu lassen. Dies kann auch über ein PowerShell-Skript automatisiert werden. Diese Taktik ist besonders effektiv, wenn die Erkennung bösartiger Dateidownloads so konfiguriert ist, dass Synchronisierungsereignisse ignoriert werden. Entsprechend können durch Spoofing des User-Agenten diese Erkennungen umgangen werden. Bei dieser Methode werden keine Zugriffsprotokolle erstellt. Sie ist also wesentlich subtiler als die „In der App öffnen“-Taktik und ermöglicht es Angreifern, Daten zu exfiltrieren, ohne Verdacht zu erregen.

Empfehlungen um Datenexfiltration zu erkennen

„Unsere Threat Labs haben gezeigt, dass Download-Logs ein unzuverlässiger Indikator für verdächtige Aktivitäten und einfach zu umgehen sind“, erklärt Volker Sommer, Regional Sales Director DACH von Varonis. „Sicherheitsverantwortliche sollten das Nutzer- und Datenverhalten ganzheitlich beobachten und bewerten und dabei möglichst viel Kontext einbeziehen. Intelligente DSPM-Lösungen sind hierzu in der Lage und können verdächtiges Verhalten automatisiert stoppen.“

Um Datenexfiltrationen mittels der beiden neuen Techniken zu erkennen, sollten nicht nur die Download-Logs sondern auch Zugriffsprotokolle betrachtet werden. So können große und ungewöhnliche Zugriffe auf nicht autorisierte Downloads und mögliche Datenexfiltration hindeuten.

Wenn vorhandene Erkennungssysteme so konfiguriert sind, dass sie Synchronisierungsereignisse nicht einbeziehen, müssen neue Erkennungsregeln erstellt werden, die dies tun.

Neue Erkennungsregeln aufstellen

Sicherheitsverantwortliche können sich nicht allein auf Audit-Protokolle verlassen, um festzustellen, ob es sich bei Synchronisierungsereignissen um legitime oder getarnte Download-Aktivitäten handelt. Stattdessen sollten die Erkennungsregeln Verhaltensmuster berücksichtigen, die Folgendes beinhalten:

  • Die üblichen Geräte für Synchronisierungsvorgänge
  • Die üblichen geographischen Standorte bei Synchronisierungen
  • Die spezifischen Ordner, die typischerweise mit dem Konto eines Benutzers synchronisiert werden

Durch die Analyse dieser Verhaltensparameter können Sicherheitsverantwortliche Anomalien erkennen, die darauf hindeuten, dass jemand die Synchronisierungsereignisse manipuliert. Eine unerwartete Spitze bei der Synchronisierungsaktivität von einem Gerät, das nicht häufig verwendet wird, oder die Synchronisierung ungewöhnlich großer Mengen sensitiver Ordner, die nicht Teil des normalen Arbeitsablaufs des Benutzers sind, könnten beispielsweise Warnsignale sein.

Mehr bei Varonis.de

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

Cyber-Security-Report: Angriffe 2024 um 44 Prozent gestiegen

Die Gefahren durch Cyber-Kriminelle nehmen zu, vor allem durch den Einsatz generativer KI, so das Ergebnis des Cyber-Security-Reports 2025. Zu ➡ Weiterlesen

Microsoft: UEFI Secure Boot Schwachstelle entdeckt

Ein Anbieter für Sicherheitssoftware hat eine Sicherheitslücke entdeckt, mit der sich der UEFI Secure Boot umgehen lässt. Auf diese Weise ➡ Weiterlesen

Cyber-Security: Herausforderungen werden 2025 komplexer

2025 wird eine Zeit der Prüfung für deutsche Unternehmen. Sie müssen immer größeren Cyber-Security Anforderungen gerecht werden. Denn verschärfte Regularien ➡ Weiterlesen

Geopolitische DDoS-Attacken auf die Schweiz

Geopolitisch motivierte DDoS-Attacken sind ein steter Begleiter unseres Alltags geworden. Es vergeht kein Tag, wo wir nicht von den erfolgreichen ➡ Weiterlesen

Identitätskonvergenz, private GPTs und KI-Angriffe

2024 wurde die IT von zahlreichen Innovationen etwa bei KI und bei großen Sprachmodellen geprägt. Auch neue Angriffsvektoren wie das ➡ Weiterlesen

Report: Weltweiter Ransomware-Anstieg – Deutschland verbessert 

Weltweit steigt die Zahl der Ransomware-Attacken, in Deutschland jedoch sank sie aufgrund stärkerer Regulierungen und Gegenmaßnahmen. Dennoch bleibt Deutschland im ➡ Weiterlesen

NIS2-Umsetzung in Deutschland vorerst gescheitert

Das vorläufige Scheitern des laufenden Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz in dieser Legislaturperiode sorgt derzeit für Schlagzeilen und Verunsicherung. Für die meisten ➡ Weiterlesen

Report 2024: Phishing und genAI nehmen zu

Der Cloud & Threat Report 2024 zeigt, dass Mitarbeiter dreimal häufiger auf Phishing-Links geklickt haben als 2023. Er deckt wachsende ➡ Weiterlesen