I ricercatori hanno scoperto due nuove tecniche che permettono di aggirare i log di audit o generare eventi meno gravi durante il download dei file da SharePoint. Queste tecniche potrebbero consentire agli aggressori di esfiltrare dati da SharePoint senza lasciare tracce evidenti nei log di audit, eludendo così la rilevazione da parte degli strumenti di sicurezza.
Tecnica 1: uso della funzione “Apri in App”
La prima tecnica sfrutta la funzione “Apri in App” di SharePoint, che consente agli utenti di aprire documenti con applicazioni come Microsoft Word anziché utilizzare il browser web. Questo metodo non genera un evento “FileDownloaded” nei log di audit di SharePoint, ma produce invece un evento di “Accesso” che potrebbe essere ignorato dagli amministratori. L’apertura di un file da una posizione nel cloud crea un comando shell con l’URL non scadente dalla posizione del file sull’endpoint cloud, che può essere utilizzato per scaricare il file senza restrizioni.
Tecnica 2: Spoofing del User-Agent
La seconda tecnica implica lo spoofing della stringa User-Agent delle richieste di accesso ai file per imitare Microsoft SkyDriveSync, un servizio utilizzato per la sincronizzazione dei file tra SharePoint e il computer locale di un utente. Questo trucco fa sembrare i download di file eseguiti tramite il browser o l’API Microsoft Graph come eventi di sincronizzazione dei dati (“FileSyncDownloadedFull”), riducendo la probabilità di un esame attento da parte dei team di sicurezza.
Misure di Mitigazione e Raccomandazioni
Sebbene queste vulnerabilità siano state classificate come di gravità moderata e non riceveranno correzioni immediate, è importante che gli amministratori di SharePoint siano consapevoli di questi rischi e imparino a identificarli e mitigarli fino a quando le patch non saranno disponibili. Varonis raccomanda di monitorare i volumi elevati di attività di accesso in un breve lasso di tempo e l’introduzione di nuovi dispositivi da posizioni insolite, che potrebbero essere segni di esfiltrazione di dati non autorizzata. Inoltre, si consiglia ai team di sicurezza di esaminare gli eventi di sincronizzazione per anomalie nella frequenza e nei volumi di dati e di cercare di identificare modelli di attività insoliti.
Queste scoperte sottolineano l’importanza di una vigilanza continua e di pratiche di sicurezza proattive per proteggere le informazioni sensibili memorizzate e condivise su piattaforme collaborative come SharePoint.