O Varonis Threat Labs vulnerabilidades identificadas no SharePoint que permitem que agentes mal-intencionados ignorar registros de auditoria, permitindo potencialmente a exfiltração não autorizada de dados sem alertar as equipes de segurança. Apesar do relatório enviado à Microsoft em novembro, a gigante tecnológica classificou este problema como um problema de segurança moderado e colocou-o na fila para patches futuros, sem especificar um cronograma para resolução.
Insights Técnicos sobre o Explorações
As vulnerabilidades dependem de dois métodos principais que deturpam os downloads de arquivos como eventos de acesso ou de sincronização de arquivos no sistema de registro do SharePoint. O primeiro método envolve o uso de um script PowerShell combinado com o modelo de objeto cliente do SharePoint para baixar arquivos. Esta ação aciona um log de acesso em vez de um log de download, dificultando a detecção de downloads de dados não autorizados. O segundo método explora a sincronização do OneDrive com o SharePoint, onde a alteração do User-Agent pode disfarçar os downloads como eventos de sincronização, evitando assim os mecanismos tradicionais de detecção.
O Registro relata que a Microsoft respondeu a essas descobertas afirmando que o SharePoint está operando conforme projetado, capturando o acesso a arquivos por meio de seus logs de auditoria. A empresa aconselha os fornecedores de segurança a monitorar eventos de auditoria FileAccessed, FileDownloaded, FileSyncDownloadedFull e FileSyncDownloadedPartial para uma vigilância abrangente do acesso a arquivos.
Recomendações e medidas de segurança
Dada a dependência dessas explorações em permissões do SharePoint configuradas incorretamente — um problema comum no ecossistema da Microsoft — a Varonis sublinha a importância de revisões regulares do sistema. As empresas devem examinar minuciosamente os seus sistemas em busca de padrões de acesso incomuns ou registros de auditoria anormais que possam indicar atividades não autorizadas. Embora a Microsoft ainda não tenha abordado essas vulnerabilidades diretamente, compreender e monitorar os possíveis indicadores de exploração pode ajudar a mitigar os riscos associados a esses métodos de desvio de log de auditoria.
A pesquisa de Varonis destaca ainda mais a questão mais ampla da exposição de dados na nuvem. ambientes, observando que uma parte significativa dos dados da empresa é muitas vezes acessível inadvertidamente a todos os funcionários. Essa acessibilidade, juntamente com as explorações recém-descobertas, ressalta a necessidade de configurações de permissão rigorosas e monitoramento vigilante dos ambientes do SharePoint para proteção contra possíveis violações de dados.
