Les chercheurs ont découvert deux techniques qui pourraient permettre aux attaquants de contourner les journaux d’audit ou de générer des entrées moins sévères lors du téléchargement de fichiers à partir de SharePoint.

Microsoft SharePoint est une plate-forme collaborative basée sur le Web qui s’intègre à Microsoft Office et 365, principalement en tant que système de gestion de documents et de stockage de données.

De nombreuses entreprises l’utilisent pour la gestion de documents et la collaboration, la création de sites Web et d’intranets d’entreprise, l’automatisation de flux de travail complexes et les applications de gestion de contenu d’entreprise.

En raison de la sensibilité des données SharePoint, de nombreuses entreprises auditent les événements sensibles, tels que le téléchargement de données, pour déclencher des alertes dans les outils de sécurité d’accès au cloud, les outils de prévention des pertes de données et les plates-formes de gestion des informations et des événements de sécurité (SIEM).

Un événement de téléchargement de fichier dans les journaux SharePoint

Les chercheurs des laboratoires de menaces Varonis ont mis au point deux techniques simples qui permettent aux utilisateurs de contourner les journaux d’audit ou de générer des événements moins sensibles en téléchargeant des données d’une certaine manière ou en les déguisant en actions de synchronisation de données.

Exfiltration silencieuse des données
La première technique décrite dans le rapport de Varonis tire parti de la fonctionnalité « Ouvrir dans l’application » de SharePoint, qui permet aux utilisateurs d’ouvrir des documents avec des applications comme Microsoft Word au lieu d’utiliser le navigateur Web, qui est l’option par défaut.

L’utilisation de cette fonctionnalité ne génère pas d’événement « Fichier téléchargé » dans les journaux d’audit Sharepoint, mais crée à la place un événement « Accès » que les administrateurs peuvent ignorer.

Événements d’accès multiples créés à partir d’une série d’exfiltrations de fichiers

L’ouverture du fichier à partir d’un emplacement cloud crée une commande shell avec l’URL non expirante de l’emplacement du fichier sur le point de terminaison cloud, que quelqu’un peut utiliser pour télécharger le fichier sans restrictions.

Varonis note également que l’utilisation abusive de « Ouvrir dans l’application » peut être à la fois manuelle et automatisée, en utilisant un script PowerShell personnalisé qui pourrait permettre à quelqu’un d’exfiltrer rapidement de grandes listes de fichiers.

Script PowerShell automatisant l’exfiltration de fichiers

La deuxième technique consiste à usurper la chaîne User-Agent des demandes d’accès aux fichiers pour imiter Microsoft SkyDriveSync, un service utilisé pour la synchronisation de fichiers entre SharePoint et l’ordinateur local d’un utilisateur.

Cette astuce fait apparaître les téléchargements de fichiers effectués via le navigateur ou l’API Microsoft Graph dans les journaux en tant qu’événements de synchronisation de données (« FileSyncDownloadedFull »), réduisant ainsi la probabilité d’examen minutieux par les équipes de sécurité.

Dans ce cas également, la modification de la chaîne de l’Agent utilisateur et l’exfiltration ultérieure des fichiers peuvent être effectuées manuellement ou via un script PowerShell pour automatiser le processus.

Atténuation
Varonis a divulgué ces bogues en novembre 2023, et Microsoft a ajouté les failles à un arriéré de correctifs pour une correction future.

Cependant, les problèmes ont été classés comme de gravité modérée, ils ne recevront donc pas de correctifs immédiats. Par conséquent, les administrateurs SharePoint doivent être conscients de ces risques et apprendre à les identifier et à les atténuer jusqu’à ce que des correctifs soient disponibles.

Varonis recommande de surveiller les volumes élevés d’activités d’accès dans un court laps de temps et l’introduction de nouveaux appareils à partir d’emplacements inhabituels, qui pourraient être des signes d’exfiltration de données non autorisée.

De plus, il est recommandé aux équipes de sécurité d’examiner les événements de synchronisation à la recherche d’anomalies dans la fréquence et les volumes de données et d’essayer d’identifier des modèles d’activité inhabituels.

Breachtrace a contacté Microsoft pour en savoir plus sur leurs plans pour résoudre les problèmes présentés par Varonis, mais nous n’avons pas encore reçu de commentaire.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *