微软SharePoint存在安全漏洞，可能导致数据外泄

文章重点

微软SharePoint发现两个安全漏洞，可能允许攻击者绕过审计日志并窃取数据。研究表明，SharePoint的广泛使用使其成为潜在攻击的目标，特别是在政府和商业领域。Varonis建议在补丁发布之前，组织应密切审查SharePoint和OneDrive的访问活动日志。微软已对这些漏洞进行审查，并表示用户不需采取任何额外行动。

Microsoft SharePoint目前被发现存在两个漏洞，这些漏洞可能让攻击者绕过审计日志，从而避免触发下载记录，最终可能导致SharePoint数据的外泄。考虑到SharePoint在政府和商业领域的广泛应用，这项研究的意义重大。据估计，有超过25万家组织使用SharePoint来管理文件和内部网络，其中80的《财富》500强公司也在使用该平台。

Varonis威胁实验室在4月9日的博文中指出，攻击者有可能利用传统工具如云访问安全代理、数据丢失防护平台和安全信息事件管理系统的检测和执行策略，隐藏下载行为，使其看起来像不那么可疑的访问和同步事件。

Varonis研究人员表示，他们在2023年11月向微软披露了这两个漏洞，之后微软将其定性为“中等”安全修复，并将这些漏洞纳入补丁积压程序中。

在补丁尚未发布期间，Varonis建议组织应密切审查其SharePoint和OneDrive的审计日志，特别是关注不寻常的访问活动、访问量、新的设备或地理位置。

攻击者可以通过两种方式利用这些漏洞：第一种技术使用代码启用SharePoint的“在应用中打开”功能，以仅在文件的审计日志中留下访问事件的方式访问和下载文件。攻击者可以手动执行此操作，也可以通过PowerShell脚本实现自动化，从而快速外泄大量文件。第二种技术利用Microsoft SkyDriveSync的用户代理下载文件甚至整个站点，并将事件错误标记为文件同步而非下载。

通过这两种技术，威胁行为者可以在隐藏活动的情况下外泄数据，绕过检测或策略执行。

研究揭示了SharePoint安全的漏洞

使用SharePoint的组织可能会面临未被检测到的数据盗窃风险，攻击者能够在不触发主要警报的情况下隐秘外泄敏感信息，Critical Start的网络威胁研究高级经理Callie Guenther说道。

Guenther表示，这一情况突显了当前安全策略存在的重大缺口，这些策略常常依赖审计日志来检测异常。她指出，先进的持续威胁组织也可能利用这种技术进行长期间谍活动，导致长期处于未被检测的风险。考虑到未被发现的漏洞可能违反数据保护法规，Guenther强调了潜在的合规和法律后果。

“这些方法的复杂性，特别是借助PowerShell脚本自动化的可能性，表明攻击者能够相对轻松地发起大规模攻击，”Guenther说。“这一情境强调了关于安全增强的迫切需求，倡导采用利用行为分析和机器学习的高级检测工具，更有效地识别威胁，从传统的日志监控转向更动态、更主动的网络安全方法。”

Bambenek Consulting的总裁John Bambenek补充道，随着越来越多的组织采用云优先技术，恶意活动未被检测的可能性也随之增加。

“组织信任这些提供商正确地记录数据，以便能够检测问题。然而，当出现失误或变通时，恶意行为者可以利用这些漏洞，对许多毫不知情的组织进行攻击，”Bambenek表示。“数据盗窃本身就是一个普遍和复杂的问题，这样的技术使防御者的工作变得更加困难。”

4月9日，微软对Varonis的研究发表声明，表示不同意其结论：

“我们注意到了这份报告，确认我们的客户无需采取行动。我们已确认产品正常工作，能够检测到文件访问并通过审计日志进行报告。安全产品和供应商应利用FileAccessed、FileDownloaded，以及两个潜在的与同步相关的信号FileSyncDownloadedFull和FileSyncDownloadedPartial审计事件来监控

蚂蚁NPV加速器安卓