Un grupo de investigadores descubre técnicas de evasión de filtración de datos en SharePoint

El grupo de investigación de la firma de seguridad Varonis ha descubierto dos técnicas empleadas en SharePoint que permiten a los usuarios eludir los registros de auditoría y evitar desencadenar eventos de descarga mientras extraen archivos. “Estas técnicas pueden esquivar las políticas de detección y aplicación de herramientas tradicionales, como los agentes de seguridad de acceso a la nube, la prevención de pérdida de datos y SIEM”, dice el informe.

El robo de datos confidenciales es una de las actividades más comunes que realizan los actores de amenazas una vez que irrumpen en las redes empresariales. Los servidores SharePoint son un objetivo común como punto central para la gestión de documentos y el almacenamiento de archivos.

La exfiltración de datos puede ser difícil de detectar si los atacantes están descargando archivos utilizando cuentas legítimas que han sido comprometidas, por lo que las empresas suelen crear reglas de detección que analizan los registros de auditoría para encontrar patrones sospechosos, pero los investigadores advierten que hay formas de ocultar los eventos de descarga.

Las técnicas han sido informadas a Microsoft, pero como se consideran de gravedad moderada, la empresa podría tardar algún tiempo en solucionarlas. Hasta que eso suceda, los investigadores aconsejan a las empresas que también controlen el acceso inusual a archivos y las actividades de sincronización de archivos, no sólo las descargas de archivos, en sus registros de SharePoint y OneDrive. Los servidores de SharePoint también albergan OneDrive for Business, una solución que permite compartir y sincronizar archivos.

Los atacantes pueden utilizar la función 'Abrir en la aplicación de escritorio' de Sharepoint

Los usuarios, y por lo tanto los atacantes con acceso a cuentas comprometidas, pueden descargar directamente archivos o carpetas enteras a través de la interfaz web de SharePoint. Sin embargo, dichas operaciones también se pueden automatizar de varias maneras a través de aplicaciones de Azure o mediante la API MSGraph.

En ambos casos, estas acciones crearán entradas "FileDownloaded" en el registro de auditoría de SharePoint, de modo que cualquier solución de seguridad que las supervise pueda detectar comportamientos sospechosos, como una cantidad inusualmente grande de archivos que se descargan en un corto período de tiempo, o desde un nuevo dispositivo o dispositivo. desde una nueva ubicación.

"Como parte de nuestra investigación, nuestro objetivo era determinar qué acciones del usuario generaban qué tipo de eventos, ya fueran alertas de seguridad o eventos de archivos (por ejemplo, abiertos, cerrados, descargados, etc.)", dijeron los investigadores de Varonis. "A medida que desarrollamos scripts de ataque específicos, identificamos técnicas que podrían usarse para descargar archivos sin desencadenar eventos estándar y eludir los registros de auditoría".

Una de esas técnicas es usar una opción en SharePoint para archivos llamada 'Abrir en aplicación de escritorio', que descarga el archivo en la máquina local y lo abre en una aplicación de escritorio. Esto se hace mediante un comando de shell que abre el archivo accediendo a un enlace directo e inicia la aplicación asociada con la extensión del archivo. Si el usuario copia ese enlace y lo abre directamente en su navegador, tendrá la opción de descargarlo.

Sin embargo, resulta que para los enlaces generados y a los que se accede de esta manera, el evento registrado en el registro de auditoría de SharePoint es "FileAccessed" y no el archivo "FileDownloaded".

Los investigadores lograron automatizar esto escribiendo un script de PowerShell que utiliza el modelo de objetos de cliente (CSOM) de SharePoint para recuperar archivos sin dejar huellas de descarga en el servidor.

"Sin embargo, a menos que un usuario descargue grandes volúmenes de archivos rápidamente, estos métodos probablemente crearán sólo cantidades visibles de registros de acceso, lo que permitirá que dichas actividades pasen relativamente desapercibidas para las reglas de detección centradas en los registros de descarga", según los investigadores.