研究人员已观察到两个Microsoft SharePoint缺陷，这些缺陷可能会让攻击者绕过审核日志并避免触发下载，然后泄露 SharePoint 数据。

由于 SharePoint 在政府和企业中拥有广泛的基础，因此该研究被认为具有重要意义。据估计，超过 250,000 个组织使用 SharePoint 来管理文档和内部网，其中 80% 的财富 500 强公司估计使用该平台。

Varonis Threat Labs 在4 月 9 日的博客文章中表示，他们发现攻击者可以通过将下载隐藏为更少的内容来绕过传统工具的检测和执行策略，例如云访问安全代理、数据丢失防护平台和安全信息事件管理系统。可疑的访问和同步事件。

Varonis 研究人员表示，他们于 2023 年 11 月向微软披露了这两个错误，微软此后将它们指定为“中等”安全修复程序，并将这些缺陷添加到他们的补丁积压计划中。

在开发补丁之前，Varonis 研究人员建议组织仔细检查 SharePoint 和 OneDrive 审核日志中的访问事件，以了解异常访问活动、数量、新设备或地理位置。

攻击者可以通过以下两种方式之一利用这些缺陷：第一种技术使用代码，启用 SharePoint 中的“在应用程序中打开”功能来访问和下载文件，同时仅在文件的审核日志中留下访问事件。攻击者可以手动或通过 PowerShell 脚本自动执行此操作，从而快速渗透大量文件。第二种技术使用 Microsoft SkyDriveSync 的用户代理来下载文件甚至整个站点，同时将事件错误地标记为文件同步而不是下载。

使用这两种技术，威胁行为者可能会泄露数据，同时将其活动隐藏在审核日志中，绕过检测或策略执行。

Critical Start 网络威胁研究高级经理兼SC Media 专栏作家Callie Guenther 解释说，使用 SharePoint 的组织可能面临未被发现的数据盗窃风险，因为攻击者可以在不引发重大警报的情况下秘密窃取敏感信息。

Guenther 表示，这种情况凸显了现有安全策略中的重大缺陷，这些策略通常依赖审计日志来检测异常情况。她说，先进的持续威胁组织也可以利用此类技术进行长期间谍活动，从而带来长时间不被发现的风险。 Guenther 表示，考虑到未被发现的违规行为可能违反数据保护法规，潜在的合规性和法律影响是巨大的。

Guenther 表示：“这些方法的复杂性，尤其是使用 PowerShell 脚本实现自动化的可能性，表明攻击者可以相对轻松地执行大规模攻击。” “这种情况强调了增强安全性的迫切需要，提倡采用先进的检测工具，利用行为分析和机器学习来更有效地识别威胁，超越传统的基于日志的监控，转向更加动态、主动的网络安全方法。”

Bambenek Consulting 总裁 John Bambenek 补充说，随着越来越多的组织采用云优先技术，它为恶意活动未被发现创造了更多可能性。

Bambenek 表示：“组织相信这些提供商会正确记录数据，以便他们能够检测问题，但是，当出现故障或解决方法时，恶意行为者可以利用它们来攻击许多毫不知情的组织。” “数据盗窃已经是一个多产且复杂的问题，这样的技术让防御者变得更加困难。”

文章原文链接:https://www.anquanke.com/post/id/295467