Les chercheurs de Varonis Threat Labs ont découvert deux techniques que les attaquants peuvent utiliser pour exfiltrer des données secrètes et des fichiers à partir du serveur SharePoint d’une entreprise.
“Ces techniques peuvent contourner les politiques de détection et d’application des outils traditionnels, tels que les courtiers en sécurité d’accès au cloud, la prévention des pertes de données et les SIEM, en masquant les téléchargements comme des événements d’accès et de synchronisation moins suspects”, ont-ils noté.
Les techniques et pourquoi elles peuvent fonctionner
Microsoft SharePoint est utilisé par les organisations pour faciliter la collaboration des employés, simplifier la gestion et le stockage des documents/contenus, mettre en place un portail intranet via lequel les informations et applications de l’entreprise sont accessibles, et bien plus encore.
Les deux techniques peuvent être exploitées par un acteur malveillant qui a compromis le compte d’un employé ou par un interne malveillant.
Les attaquants peuvent exfiltrer secrètement des données de deux manières :
- En utilisant la fonctionnalité « Ouvrir dans l’application de bureau » de SharePoint pour accéder et enregistrer une copie locale des fichiers ou en y accédant directement via un lien spécifique
- En téléchargeant des fichiers depuis SharePoint mais en modifiant l’agent utilisateur du navigateur en Microsoft SkyDriveSync
« En combinant PowerShell avec le modèle objet client SharePoint (CSOM), les acteurs malveillants peuvent écrire un script qui récupère le fichier depuis le cloud et l’enregistre sur l’ordinateur local sans laisser d’empreinte de journal de téléchargement. Ce script peut être étendu pour cartographier un site SharePoint entier et, grâce à l’automatisation, télécharger tous les fichiers sur la machine locale », ont noté les chercheurs.
“En modifiant l’agent utilisateur du navigateur, il est possible de télécharger des fichiers via des méthodes conventionnelles, comme l’interface graphique ou l’API Microsoft Graph”, ont-ils expliqué, ajoutant que ces actions peuvent également être automatisées via un script PowerShell.
Dans les deux cas, les actions ne sont pas enregistrées dans les journaux de « téléchargement de fichiers » mais uniquement dans les journaux « d’accès aux fichiers » et/ou de « synchronisation de fichiers », et il est peu probable qu’elles déclenchent des règles de détection, qui se concentrent généralement sur les journaux de téléchargement.
Conseils de détection d’exfiltration de données (jusqu’à la publication d’un correctif)
Les chercheurs ont partagé leurs conclusions avec Microsoft en novembre 2023 et la société a déclaré qu’elle corrigerait les vulnérabilités – mais pas immédiatement, car ils les considèrent comme modérément graves.
« Un correctif potentiel pourrait consister à ajouter un nouveau journal indiquant que le fichier a été ouvert dans l’application. Ceci, associé à un peu d’analyse comportementale, pourrait aider à indiquer si des fichiers sont en train d’être exfiltrés », a déclaré Eric Saraga, chef de l’équipe de recherche sur la sécurité de Varonis Threat Labs, à Help Net Security.
En attendant, les organisations devraient surveiller de plus près les journaux d’accès et intégrer les événements de synchronisation dans les nouvelles règles de détection, qui devraient être déclenchées par des comportements inhabituels (volume plus important, appareils inhabituels, nouvelle géolocalisation, etc.).
MISE À JOUR (10 avril 2024, 12 h 40 HE) :
Varonis a mis à jour ses recherches pour indiquer que « le 10 avril 2024, Microsoft a clôturé le ticket pour la méthode SharePoint comme étant « par conception » et estime que les clients n’ont pas besoin d’agir. Cette fonctionnalité restera dans les déploiements SharePoint jusqu’à nouvel ordre.