Security-Alert: Datenexfiltration auf SharePoint

Security-Alert: Datenexfiltration auf SharePoint

Beitrag teilen

Ein bekannter IT-Sicherheits-Anbieter hat zwei Techniken in SharePoint aufgedeckt, mit denen User sensible Daten exfiltrieren können. Unternehmen sollten die Protokolle der Zugriffsereignisse in SharePoint und OneDrive deshalb genau überprüfen.

Die Sicherheitsforscher der Varonis Threat Labs haben zwei Techniken in SharePoint entdeckt, die es Usern ermöglichen, Audit-Protokolle zu umgehen und Download-Ereignisse zu verschleiern. Auf diese Weise können sensitive Daten exfiltriert werden, da Tools wie Cloud Access Security Brokers (CASB), Data Loss Prevention (DLP) und SIEMs die Downloads als weniger verdächtige Zugriffs- und Synchronisierungsereignisse einstufen.

Anzeige

Bei der ersten Technik wird der Code verwendet, der die Funktion „In der App öffnen“ in SharePoint aktiviert, um auf Dateien zuzugreifen und sie herunterzuladen. Dabei wird nur das Zugriffsereignis (und nicht der Download) im Prüfprotokoll der Datei vermerkt. Diese Methode kann manuell oder automatisiert über ein PowerShell-Skript ausgeführt werden und ermöglicht die schnelle Exfiltration vieler Dateien. Die zweite Technik nutzt den User-Agenten für Microsoft SkyDriveSync, um Dateien oder sogar ganze Websites herunterzuladen, wobei die Ereignisse fälschlicherweise als Dateisynchronisationen und nicht als Downloads gekennzeichnet werden.

Ausnutzung der „In der App öffnen“-Funktion auf SharePoint

Cyberkriminelle können es sich zunutze machen, dass in der entsprechenden App geöffnete SharePoint-Dateien kein „FileDownloaded“-Log erzeugen, auch wenn sie auf den Computer heruntergeladen wird. Durch die Kombination von PowerShell mit dem SharePoint-Clientobjektmodell (CSOM) können Angreifer ein Skript schreiben, das die Datei aus der Cloud abruft und auf dem lokalen Computer speichert, ohne eine Download-Protokollspur zu hinterlassen. Dieses Skript kann zudem erweitert werden, um eine gesamte SharePoint-Website abzubilden und mithilfe der Automatisierung alle Dateien auf den lokalen Rechner herunterzuladen. Ganz unsichtbar bleiben die Aktivitäten jedoch nicht: Bei dieser Methode werden zwar keine Download-Protokolle, aber Zugriffsprotokolle erstellt, die zur Erkennung solcher Aktivitäten verwendet werden können. Gleichwohl können solche Aktivitäten von Erkennungsregeln, die sich auf Download-Protokolle konzentrieren, relativ unbemerkt bleiben.

Ausnutzung der Datensynchronisation mit OneDrive

Cyberkriminelle können darüber hinaus auch die Synchronisation zwischen SharePoint und OneDrive zur diskreten Exfiltration von Daten verwenden. Durch Ändern des User-Agenten des Browsers ist es möglich, Dateien über herkömmliche Methoden wie die grafische Benutzeroberfläche oder die Microsoft Graph API herunterzuladen und sie in den Protokollen als Sync-Ereignisse „FileSyncDownloadedFull“ anstelle der Standard-Download-Ereignisse „FileDownloaded“ erscheinen zu lassen. Dies kann auch über ein PowerShell-Skript automatisiert werden. Diese Taktik ist besonders effektiv, wenn die Erkennung bösartiger Dateidownloads so konfiguriert ist, dass Synchronisierungsereignisse ignoriert werden. Entsprechend können durch Spoofing des User-Agenten diese Erkennungen umgangen werden. Bei dieser Methode werden keine Zugriffsprotokolle erstellt. Sie ist also wesentlich subtiler als die „In der App öffnen“-Taktik und ermöglicht es Angreifern, Daten zu exfiltrieren, ohne Verdacht zu erregen.

Empfehlungen um Datenexfiltration zu erkennen

„Unsere Threat Labs haben gezeigt, dass Download-Logs ein unzuverlässiger Indikator für verdächtige Aktivitäten und einfach zu umgehen sind“, erklärt Volker Sommer, Regional Sales Director DACH von Varonis. „Sicherheitsverantwortliche sollten das Nutzer- und Datenverhalten ganzheitlich beobachten und bewerten und dabei möglichst viel Kontext einbeziehen. Intelligente DSPM-Lösungen sind hierzu in der Lage und können verdächtiges Verhalten automatisiert stoppen.“

Um Datenexfiltrationen mittels der beiden neuen Techniken zu erkennen, sollten nicht nur die Download-Logs sondern auch Zugriffsprotokolle betrachtet werden. So können große und ungewöhnliche Zugriffe auf nicht autorisierte Downloads und mögliche Datenexfiltration hindeuten.

Wenn vorhandene Erkennungssysteme so konfiguriert sind, dass sie Synchronisierungsereignisse nicht einbeziehen, müssen neue Erkennungsregeln erstellt werden, die dies tun.

Neue Erkennungsregeln aufstellen

Sicherheitsverantwortliche können sich nicht allein auf Audit-Protokolle verlassen, um festzustellen, ob es sich bei Synchronisierungsereignissen um legitime oder getarnte Download-Aktivitäten handelt. Stattdessen sollten die Erkennungsregeln Verhaltensmuster berücksichtigen, die Folgendes beinhalten:

  • Die üblichen Geräte für Synchronisierungsvorgänge
  • Die üblichen geographischen Standorte bei Synchronisierungen
  • Die spezifischen Ordner, die typischerweise mit dem Konto eines Benutzers synchronisiert werden

Durch die Analyse dieser Verhaltensparameter können Sicherheitsverantwortliche Anomalien erkennen, die darauf hindeuten, dass jemand die Synchronisierungsereignisse manipuliert. Eine unerwartete Spitze bei der Synchronisierungsaktivität von einem Gerät, das nicht häufig verwendet wird, oder die Synchronisierung ungewöhnlich großer Mengen sensitiver Ordner, die nicht Teil des normalen Arbeitsablaufs des Benutzers sind, könnten beispielsweise Warnsignale sein.

Mehr bei Varonis.de

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

Die zehn größten Datenpannen im Jahr 2024

Datenpannen sorgen nicht nur für häufige, aufmerksamkeitsstarke Schlagzeilen – sie sind eine deutliche Erinnerung an die Schwachstellen, die in vielen ➡ Weiterlesen

Quantenresistenz wird 2025 immer wichtiger

Laut den Vorhersagen eines führenden Anbieters für Cybersicherheitslösungen werden Unternehmen in 2025 ihre Cybersicherheitsstrategien anpassen: Sie werden erste Schritte in ➡ Weiterlesen

IT-Security 2025: Datenzerstörung und Social Engineering mit KI

In 2025 steigt das Risiko eines Datenverlusts für Unternehmen stark an, denn es gibt aktuell viele Angreifer, die Daten löschen ➡ Weiterlesen

Verschlüsselung unvollständig: Akira-Hacker werden nachlässig

Viele Unternehmen geben im Fall eines Ransomware-Angriffs nach und zahlen Lösegeld an die Kriminellen. Aber auch die Angreifer unterliegen Zeitdruck ➡ Weiterlesen

Studie: Gefahr durch fehlende Post-Quantum-Kryptographie

Das Entrust Cybersecurity Institute hat die Ergebnisse einer weltweiten Umfrage zum Thema Post-Quantum-Kryptographie veröffentlicht. Hierin wird analysiert, inwieweit Unternehmen auf ➡ Weiterlesen

Security-Trends 2025: KI gehört nun zum Team

Security-Trends 2025: KI-Technologie gehört immer mehr zur IT-Sicherheit. Inzwischen sollten Security-Teams die KI als weiteres Teammitglied ansehen und an einem ➡ Weiterlesen

QR-Code: Marketing-Star oder Sicherheitsfalle?

QR-Codes auf Verpackungen, Plakaten oder in Bars verlocken, einfach das Smartphone daran zu halten. Trotz vieler Vorteile für Unternehmen und ➡ Weiterlesen

OT-Systeme sind oft Einfallstor für Cyberangriffe

Wie eine Umfrage zeigt, waren OT-Systeme bereits bei knapp der Hälfte der befragten Betriebe Einfallstor für Cyberangriffe. Und das obwohl ➡ Weiterlesen