Microsoft SharePointにイベントログを改ざんしてダウンロード可能な不具合
マイナビニュース / 2024年4月11日 10時42分
Varonisは4月9日(米国時間)、「Sidestepping SharePoint Security: Two New Techniques to Evade Exfiltration Detection|Varonis」において、Microsoft SharePointからダウンロードイベントの記録を改ざんしてファイルをダウンロードする2つの手法を発見したと報じた。この手法を用いると、攻撃者がセキュリティソリューションの検出を回避して大量のファイルをダウンロードできる可能性がある。
○ダウンロードイベントが抱えるリスク
ユーザーがSharePointからファイルやフォルダをダウンロードすると、監査ログにダウンロードイベント「FileDownloaded」が記録される。セキュリティソリューションはこのイベントを使用してポリシー違反を検出することができる。
攻撃者がダウンロードイベントの記録を回避してダウンロード可能になると、セキュリティソリューションの検出機能を回避できる場合があり、被害の拡大につながる可能性がある。
○ダウンロードイベントの改ざん
Varonisはダウンロードイベントの記録を改ざんしてダウンロードする手法を2つ発見したとして、その詳細を解説している。それら手法の概要は次のとおり。
○(1)アプリで開く
ファイルをアプリで開いて保存した場合、ファイルダウンロードイベントは記録されない。この手法を使うとファイルのアクセスイベントのみが記録されるため、セキュリティソリューションからは通常の活動の一環として無視される可能性がある。この作業を手作業で行うのは大変だが、PowerShellとSharePointクライアント側オブジェクトモデル(CSOM: Client Side Object Model)を併用することで自動化することができる。
○(2)ファイル同期
SharePointのファイル同期機能を使用するとクラウドとローカルPC間でファイルを複製することができる。この機能を使用するとダウンロード時に「FileSyncDownloadedFull」イベントが記録される。また、Microsoft SkyDriveSyncを使用するとすべてのダウンロードイベントがFileSyncDownloadedFullイベントとして記録される。
攻撃者はこの動作を悪用し、ブラウザのユーザーエージェントをSkyDriveSyncにスプーフィング(偽装)してファイルをダウンロードすることで、ダウンロードイベントをFileSyncDownloadedFullイベントに変更できる。また、この手法はPowerShellを使用して自動化することもできる。
○対策
-
- 1
- 2
この記事に関連するニュース
-
Windowsドライバーに脆弱性、悪用による不正アクセス確認 - JPCERT/CC警告
マイナビニュース / 2024年4月25日 10時9分
-
Outlookのアップデート、修正パッチに問題が発覚して取り下げ
マイナビニュース / 2024年4月24日 16時33分
-
Windowsスクリプトから配布されるワーム「Raspberry Robin」、HPが注意喚起
マイナビニュース / 2024年4月15日 9時57分
-
GitHubから悪意あるVisual Studioプロジェクト配布、注意を
マイナビニュース / 2024年4月12日 8時46分
-
Windows更新プログラム適用でMicrosoft Connected Cacheが利用不能に
マイナビニュース / 2024年4月10日 7時34分
ランキング
-
1佐野正弘のケータイ業界情報局 第125回 SIMフリーに消極的だったサムスン電子、なぜ「Galaxy S24」で方針を一転させた?
マイナビニュース / 2024年4月30日 11時30分
-
2「絶対美味しいじゃん」とXで話題! おかずにもなる「春キャベツと鶏そぼろのお味噌汁」がおいしそう
ねとらぼ / 2024年4月30日 7時0分
-
3東京駅の中身ってこうなってたんだ! 豆知識が詰まった手描きの断片図に「これ凄い!」「見ながら散策したい」の声
ねとらぼ / 2024年4月28日 19時45分
-
4「Vポイント」お得なキャンペーン全解説 新規の方は絶対読んでほしい
ASCII.jp / 2024年4月30日 7時30分
-
511年ぶりに出会った“本格的”Android搭載液タブ XPPen「Magic Drawing Pad」をプロイラストレーターがレビューして分かったアレコレ
ITmedia PC USER / 2024年4月30日 12時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください