Microsoft SharePointにイベントログを改ざんしてダウンロード可能な不具合
マイナビニュース / 2024年4月11日 10時42分
Varonisは4月9日(米国時間)、「Sidestepping SharePoint Security: Two New Techniques to Evade Exfiltration Detection|Varonis」において、Microsoft SharePointからダウンロードイベントの記録を改ざんしてファイルをダウンロードする2つの手法を発見したと報じた。この手法を用いると、攻撃者がセキュリティソリューションの検出を回避して大量のファイルをダウンロードできる可能性がある。
○ダウンロードイベントが抱えるリスク
ユーザーがSharePointからファイルやフォルダをダウンロードすると、監査ログにダウンロードイベント「FileDownloaded」が記録される。セキュリティソリューションはこのイベントを使用してポリシー違反を検出することができる。
攻撃者がダウンロードイベントの記録を回避してダウンロード可能になると、セキュリティソリューションの検出機能を回避できる場合があり、被害の拡大につながる可能性がある。
○ダウンロードイベントの改ざん
Varonisはダウンロードイベントの記録を改ざんしてダウンロードする手法を2つ発見したとして、その詳細を解説している。それら手法の概要は次のとおり。
○(1)アプリで開く
ファイルをアプリで開いて保存した場合、ファイルダウンロードイベントは記録されない。この手法を使うとファイルのアクセスイベントのみが記録されるため、セキュリティソリューションからは通常の活動の一環として無視される可能性がある。この作業を手作業で行うのは大変だが、PowerShellとSharePointクライアント側オブジェクトモデル(CSOM: Client Side Object Model)を併用することで自動化することができる。
○(2)ファイル同期
SharePointのファイル同期機能を使用するとクラウドとローカルPC間でファイルを複製することができる。この機能を使用するとダウンロード時に「FileSyncDownloadedFull」イベントが記録される。また、Microsoft SkyDriveSyncを使用するとすべてのダウンロードイベントがFileSyncDownloadedFullイベントとして記録される。
攻撃者はこの動作を悪用し、ブラウザのユーザーエージェントをSkyDriveSyncにスプーフィング(偽装)してファイルをダウンロードすることで、ダウンロードイベントをFileSyncDownloadedFullイベントに変更できる。また、この手法はPowerShellを使用して自動化することもできる。
○対策
-
- 1
- 2
この記事に関連するニュース
-
Androidアプリに悪意あるコードを追加して再配布するマルウェアに注意
マイナビニュース / 2024年5月2日 8時31分
-
Windowsドライバーに脆弱性、悪用による不正アクセス確認 - JPCERT/CC警告
マイナビニュース / 2024年4月25日 10時9分
-
Outlookのアップデート、修正パッチに問題が発覚して取り下げ
マイナビニュース / 2024年4月24日 16時33分
-
Windowsスクリプトから配布されるワーム「Raspberry Robin」、HPが注意喚起
マイナビニュース / 2024年4月15日 9時57分
-
GitHubから悪意あるVisual Studioプロジェクト配布、注意を
マイナビニュース / 2024年4月12日 8時46分
ランキング
-
1iPhoneの天気アプリ、文京区で「大雪」とウソつく 気象庁のサイトで“正しい情報”を確認する方法は?
ITmedia Mobile / 2024年5月2日 18時50分
-
2ジョージア大使、松屋にポーランド風ハンバーグ登場で心配「国際情勢に影響しかねない熾烈な戦いになりそう」
iza(イザ!) / 2024年5月1日 13時55分
-
3パイオニアの車載スマートデバイス「NP1」を試して感じたイイところ、ムムムなところ 音声操作前提のドラレコ&カーナビ
ITmedia Mobile / 2024年5月2日 6時5分
-
4「そっち使うの?!」「これは天才」 さびだらけの鉄くぎをぐつぐつ煮込むと……? DIYに役立つ“まさかの使い道”が200万再生
ねとらぼ / 2024年5月2日 12時15分
-
5「非常識過ぎ」「論外」 消防局が「救急車は映えスポットではありません!」と喚起 “信じられない実話再現”が話題に
ねとらぼ / 2024年5月2日 19時30分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください