Ερευνητές ασφαλείας ανακάλυψαν δύο τεχνικές που θα μπορούσαν να επιτρέψουν σε hacker να παρακάμψουν τα αρχεία καταγραφής ελέγχου ή να δημιουργήσουν λιγότερο σοβαρές καταχωρήσεις κατά τη λήψη αρχείων από το SharePoint.

Δείτε επίσης: Microsoft SharePoint: Κρίσιμη ευπάθεια χρησιμοποιείται για επιθέσεις

Το Microsoft SharePoint είναι μια διαδικτυακή πλατφόρμα συνεργασίας που ενσωματώνεται στο Microsoft Office και το 365, κυρίως ως σύστημα διαχείρισης εγγράφων και αποθήκευσης δεδομένων.

Πολλές εταιρείες το χρησιμοποιούν για διαχείριση εγγράφων και συνεργασία, δημιουργώντας ιστοσελίδες και εταιρικά εσωτερικά δίκτυα, αυτοματοποιώντας πολύπλοκες ροές εργασίας και εφαρμογές διαχείρισης εταιρικού περιεχομένου.

Λόγω της ευαισθησίας των δεδομένων του SharePoint, πολλές εταιρείες ελέγχουν ευαίσθητα συμβάντα, όπως τη λήψη δεδομένων, για να ενεργοποιήσουν ειδοποιήσεις στα εργαλεία ασφαλείας πρόσβασης στο cloud, στα εργαλεία πρόληψης απώλειας δεδομένων και στις πλατφόρμες πληροφοριών ασφαλείας και διαχείρισης συμβάντων (SIEM).

Ερευνητές στο Varonis Threat Labs έχουν επινοήσει δύο απλές τεχνικές που επιτρέπουν στους hacker να παρακάμπτουν τα αρχεία καταγραφής ελέγχου ή να δημιουργούν λιγότερο ευαίσθητα συμβάντα κατεβάζοντας δεδομένα με συγκεκριμένο τρόπο ή μεταμφιέζοντάς τα ως ενέργειες συγχρονισμού δεδομένων.

Δείτε ακόμα: Microsoft Patch Tuesday Μαΐου 2023: Διορθώνει 38 ευπάθειες

Η πρώτη τεχνική που περιγράφεται στην αναφορά εκμεταλλεύεται τη δυνατότητα “Άνοιγμα στην εφαρμογή” του SharePoint, η οποία επιτρέπει σε hacker να ανοίγουν έγγραφα με εφαρμογές όπως το Microsoft Word, αντί να χρησιμοποιούν το πρόγραμμα περιήγησης Ιστού, που είναι η προεπιλεγμένη επιλογή.

Η χρήση αυτής της δυνατότητας δεν δημιουργεί ένα συμβάν “FileDownloaded” στα αρχεία καταγραφής ελέγχου του SharePoint, αλλά δημιουργεί ένα συμβάν “Πρόσβαση” που οι διαχειριστές ενδέχεται να αγνοήσουν.

Το άνοιγμα του αρχείου από μια τοποθεσία cloud δημιουργεί μια εντολή shell command με τη διεύθυνση URL που δεν λήγει από τη θέση του αρχείου στο τελικό σημείο του cloud, την οποία κάποιος μπορεί να χρησιμοποιήσει για τη λήψη του αρχείου χωρίς περιορισμούς.

Η δεύτερη τεχνική περιλαμβάνει την πλαστογράφηση της συμβολοσειράς User-Agent

των αιτημάτων πρόσβασης σε αρχείο για να μιμηθεί το Microsoft SkyDriveSync, μια υπηρεσία που χρησιμοποιείται για το συγχρονισμό αρχείων μεταξύ του SharePoint και του τοπικού υπολογιστή ενός χρήστη.

Αυτό το τέχνασμα κάνει τις λήψεις αρχείων που εκτελούνται μέσω του προγράμματος περιήγησης ή του Microsoft Graph API να εμφανίζονται στα αρχεία καταγραφής ως συμβάντα συγχρονισμού δεδομένων (“FileSyncDownloadedFull”), μειώνοντας την πιθανότητα ελέγχου από τις ομάδες ασφαλείας.

Και σε αυτήν την περίπτωση, η αλλαγή της συμβολοσειράς User-Agent και η επακόλουθη εξαγωγή αρχείου μπορεί να γίνει χειροκίνητα ή μέσω μιας δέσμης ενεργειών PowerShell για την αυτοματοποίηση της διαδικασίας.

Δείτε επίσης: Microsoft Sharepoint out λόγω εσφαλμένου πιστοποιητικού TLS

Οι hacker χρησιμοποιούν πολλές μεθόδους για να κλέψουν αρχεία, όπως στην περίπτωση του SharePoint. Μια από τις πιο συχνές είναι η επίθεση phishing, όπου ο hacker παριστάνει μια αξιόπιστη οντότητα σε ηλεκτρονικά μηνύματα ή άλλες επικοινωνίες για να εξαπατήσει τους χρήστες να αποκαλύψουν ευαίσθητες πληροφορίες. Μια άλλη συχνή μέθοδος είναι η εγκατάσταση κακόβουλου λογισμικού ή malware στον υπολογιστή του θύματος. Αυτό μπορεί να γίνει μέσω επισυναπτόμενων αρχείων σε ηλεκτρονικά μηνύματα, κατεβάζοντας αρχεία από μη αξιόπιστες πηγές ή επισκεπτόμενοι μη ασφαλείς ιστοσελίδες. Επίσης, οι hackers μπορούν να εκμεταλλευτούν τις αδυναμίες του λογισμικού, γνωστές ως ευπάθειες, για να παρακάμψουν τα μέτρα ασφαλείας και να αποκτήσουν πρόσβαση σε αρχεία. Αυτό μπορεί να γίνει μέσω ειδικά σχεδιασμένων επιθέσεων που στοχεύουν σε συγκεκριμένες ευπάθειες στο λογισμικό.

Πηγή: bleepingcomputer