Çeşitli güvenlik araştırmacıları, SharePoint’ten dosya indirirken denetim kayıtlarını atlatarak saldırganların gizlenmesini kolaylaştıran iki teknik keşfettiler.
Araştırmacılar, SharePoint’ten veri indirirken denetim kayıtlarını atlamak veya daha az footprint oluşturmak için iki basit teknik geliştirdiler.
Silent Data Exfiltration
İlk teknik, kullanıcıların Microsoft Word gibi uygulamalarla belgeleri web tarayıcısı yerine dosyayı indirerek açmalarına olanak tanıyan SharePoint’in “Uygulamada Aç” özelliğinden faydalanıyor.
Bu özelliği kullanmak, SharePoint denetim kayıtlarında “Dosya İndirildi” event’i oluşturmuyor sadece “Erişim” event’i oluşturuyor.
“Uygulamada Aç“ın yanlış kullanımının hem manuel hem de özel bir PowerShell komut dosyası kullanılarak otomatikleştirilebileceğini belirtiyor, bu da birinin hızlı bir şekilde dosya listelerini dışa aktarmasına olanak tanıyor.
İkinci teknik dosya erişim isteklerinin Microsoft SkyDriveSync’i taklit etmek
İkinci yöntem ise, dosya erişim isteklerini değiştirerek tarayıcı veya Microsoft Graph API üzerinden yapılan dosya indirmelerinin loglarda veri senkronizasyon etkinlikleri (“FileSyncDownloadedFull“) olarak görünmesini sağlamak. Bu, güvenlik ekiplerinin dikkatini çekme olasılığını azaltır.
Şu an için bu zafiyetler için bir yama bulunmazken sistemlerin izlenmesi ve dosya event’lerinin gözden geçirilmesi büyük önem taşıyor. Zafiyetlerin ilerleyen süreçte Microsoft tarafından kapatılması bekleniyor.