Cet article publié par Guardz analyse une méthodologie d’attaque ciblant SharePoint Online dans les environnements Microsoft 365. L’étude met en lumière comment les attaquants peuvent exploiter l’intégration étendue de SharePoint avec Graph API, Teams, OneDrive, et Power Platform pour obtenir un accès initial, maintenir une persistance, effectuer des mouvements latéraux, et exfiltrer des données.

L’analyse technique détaille le cycle de vie complet de l’attaque, incluant des techniques de reconnaissance via Google dorking et l’énumération de Graph API, des méthodes d’accès initial par des malwares hébergés sur SharePoint et l’abus de jetons OAuth, des mécanismes de persistance via des flux Power Automate et des parties web cachées, ainsi que des mouvements latéraux à travers la collaboration sur des documents partagés.

Pour l’exfiltration de données, les attaquants utilisent des liens de partage anonymes et des appels Graph API en lots. L’article fournit des détails techniques tels que des points de terminaison API spécifiques, des scripts PowerShell, et des détails d’implémentation pour chaque phase de l’attaque, offrant ainsi des renseignements exploitables pour les tests de sécurité offensive et les contre-mesures défensives.

Les IOCs et TTPs incluent l’abus de Graph API, OAuth, et Power Automate. L’article vise à informer sur les techniques d’attaque et à sensibiliser les professionnels de la sécurité aux vulnérabilités potentielles dans les environnements cloud modernes.

🧠 TTPs et IOCs détectés

TTPs

Reconnaissance via Google dorking, Énumération de Graph API, Accès initial par malwares hébergés sur SharePoint, Abus de jetons OAuth, Persistance via Power Automate et parties web cachées, Mouvements latéraux à travers la collaboration sur des documents partagés, Exfiltration de données via liens de partage anonymes et appels Graph API en lots

IOCs

Abus de Graph API, OAuth, et Power Automate

🔗 Source originale : https://guardz.com/blog/adversary-tactics-and-exploitation-paths-in-sharepoint-online/