Microsoft SharePointにイベントログを改ざんしてダウンロード可能な不具合

画像提供：マイナビニュース

Varonisは4月9日(米国時間)、「Sidestepping SharePoint Security: Two New Techniques to Evade Exfiltration Detection｜Varonis」において、Microsoft SharePointからダウンロードイベントの記録を改ざんしてファイルをダウンロードする2つの手法を発見したと報じた。この手法を用いると、攻撃者がセキュリティソリューションの検出を回避して大量のファイルをダウンロードできる可能性がある。

○ダウンロードイベントが抱えるリスク

ユーザーがSharePointからファイルやフォルダをダウンロードすると、監査ログにダウンロードイベント「FileDownloaded」が記録される。セキュリティソリューションはこのイベントを使用してポリシー違反を検出することができる。

攻撃者がダウンロードイベントの記録を回避してダウンロード可能になると、セキュリティソリューションの検出機能を回避できる場合があり、被害の拡大につながる可能性がある。

○ダウンロードイベントの改ざん

Varonisはダウンロードイベントの記録を改ざんしてダウンロードする手法を2つ発見したとして、その詳細を解説している。それら手法の概要は次のとおり。
○（1）アプリで開く

ファイルをアプリで開いて保存した場合、ファイルダウンロードイベントは記録されない。この手法を使うとファイルのアクセスイベントのみが記録されるため、セキュリティソリューションからは通常の活動の一環として無視される可能性がある。この作業を手作業で行うのは大変だが、PowerShellとSharePointクライアント側オブジェクトモデル(CSOM: Client Side Object Model)を併用することで自動化することができる。

○（2）ファイル同期

SharePointのファイル同期機能を使用するとクラウドとローカルPC間でファイルを複製することができる。この機能を使用するとダウンロード時に「FileSyncDownloadedFull」イベントが記録される。また、Microsoft SkyDriveSyncを使用するとすべてのダウンロードイベントがFileSyncDownloadedFullイベントとして記録される。

攻撃者はこの動作を悪用し、ブラウザのユーザーエージェントをSkyDriveSyncにスプーフィング(偽装)してファイルをダウンロードすることで、ダウンロードイベントをFileSyncDownloadedFullイベントに変更できる。また、この手法はPowerShellを使用して自動化することもできる。
○対策