Hacken van binnenuit met Sharepoint, hoe doe je dat?

sharepoint

In Microsoft Sharepoint kun je zoeken zonder lastige commando’s in te voeren. Als er sites open staan, waar een kwaadwillende niets te zoeken heeft, is het eenvoudig om gevoelige data te vinden. Hieronder lees je hoe wij te werk gaan tijdens een pentest om een organisatie van binnenuit te hacken via Sharepoint.

Wat is van binnenuit hacken?

Het afgelopen jaar hebben we vele pentesten uitgevoerd. Pentesten die vaak de systemen van buitenaf testen maar ook steeds vaker van binnenuit. Van binnenuit testen betekent dat je de bril opzet van een kwaadwillende die al in het netwerk zit. Bijvoorbeeld een criminele hacker die een gebruikersnaam en wachtwoord verkregen heeft of een werknemer die het minder goed met je voor heeft.  

Één van deze testen die we vaak uitvoeren is het onderzoek naar wat iemand kan die toegang heeft tot Microsoft Sharepoint. Sharepoint ken je natuurlijk. Het heeft zichzelf inmiddels helemaal geïntegreerd in veel organisaties. Je kunt met Sharepoint snel en gemakkelijk documenten met collega’s en externen delen. Het is eigenlijk precies hetzelfde als de oudere “shares”. De gedeelde schijven en mappen in de verkenner van Windows. Doe je dat goed en wordt er goed omgegaan met documentstructuren en rechten dan is er vrijwel niets aan de hand. Maar gaat het mis? Dan kan het zo maar dat het een grote warboel wordt van rechten en open structuren. Iets dat je niet wilt. In dit blog leggen we je uit waar je op zou moeten testen. 

Een voorbeeld

Laten we beginnen met een voorbeeld van een real-life pentest aanvraag. Een groot bedrijf vroeg ons een test uit te voeren op het netwerk, de Sharepoint omgeving en allerlei aanverwante toepassingen zoals portalen die van buiten bereikbaar zijn. Voor deze test hebben een account gekregen om een simulatie van een aanval binnen uit, uit te voeren (een Grey Box test). Een simulatie waarbij we doen of we een kwaadwillende zijn met een gebruikersnaam en wachtwoord verkregen via bijvoorbeeld een phishing aanval of een boze medewerker die het niet zo goed voorheeft met het bedrijf. We richten ons in dit blog enkel op Sharepoint. 

Samba

Waar je voorheen nog veel deelde met Samba shares doe je dat nu wellicht via Sharepoint. Gewone ouderwetse shares waren vaak een hoofdpijn dossier voor veel systeembeheerders, want wie kan waar bij? Welke rechten moet je hebben op een bestand? Zijn alleen leesrechten voldoende of moest je ook kunnen bewerken? In veel gevallen waren shares dan ook veel te open en veel organisaties hadden (en hebben nog steeds) te veel open structuren met alle gevolgen van dien. En dit zien we nu ook weer terug bij veel Sharepoint sites, die maken het mogelijk om van binnenuit te hacken.  

In het geval van de “shares” worden die nog altijd gezocht met het commando  

Smbmap -H <ip adres>/range 

Bijvoorbeeld: 

Commando om te zoeken in shares

Zoeken in microsoft sharepoint

In Microsoft Sharepoint is dat allemaal niet meer nodig en kun je, als de omgeving het toelaat, zoeken in alle openbare sites (eigenlijk gewoon de open shares). Zoals gezegd was er voor de pentest in het voorbeeld een gebruikersnaam en wachtwoord verstrekt waarmee we testen konden uitvoeren.  

In dit soort pentesten gaat het wellicht niet eens om de kwetsbaarheden binnen Sharepoint zoals het niet op orde hebben van security patches maar gaat het meer om misconfiguraties en het open hebben van sites waar een willekeurige gebruiker niets te zoeken heeft.  

WAt kun je als hacker vinden op sharepoint? 

Maar waar zoek je dan op? Nou verplaats je eens in een crimineel of gebruiker met kwade intenties. Waar zou dan op gezocht worden? Denk eens aan identiteitsbewijzen, vluchtgegevens, wachtwoorden, financiële gegevens, brieven en notities en ga zo maar door. Eigenlijk alles wat interessant kan zijn kan vindbaar zijn op een Sharepoint omgeving die niet goed is ingericht of onjuist wordt onderhouden. 

Zoals gezegd zijn we dus op zoek naar interessante informatie (ook wel eens “juicy info” genoemd). Deze informatie kan leiden tot imagoschade, datalekken of vervolg-hacks. Je kunt je voorstellen dat wanneer je als gebruiker met een laag rechtenniveau bent ingelogd en je een lijst met inlogcodes vindt je natuurlijk verder kunt escaleren binnen het netwerk. Dus waar wij op zoeken zijn in ieder geval: 

  • Password 
  • Wachtwoord 
  • Ontslag 
  • Onstslagbrief 
  • Identiteitsbewijs 
  • ID 
  • Rijbewijs 
  • Sollicitatie 
  • CV 
  • Curriculum Vitae 
  • Resume 
  • Gespreksverslag 
  • Doelstellingsgesprek 
  • Eindgesprek 
  • Login 
  • Credentials 

Wat kun je zelf doen om hacken van binnenuit met sharepoint te voorkomen?

Doe jezelf een plezier en bekijk eens je eigen Sharepoint omgeving. Is het mogelijk om woorden zoals hierboven te zoeken daar resultaten op te krijgen die je normaal liever niet had gehad? Het kan betekenen dat je te veel deelt, te veel open zet en dat werknemers (en kwaadwillenden) te makkelijk informatie kunnen vinden. We kijken graag eens mee en doen een uitgebreide pentest om te zien hoe veilig jullie systemen zijn. Neem gerust contact met ons op.