Η κορυφαία εταιρεία κυβερνοασφάλειας CrowdStrike ειδοποιήθηκε από τη Microsoft ότι κάποιοι χάκερ είχαν προσπαθήσει να διαβάσουν τα email της εταιρείας μέσω μιας παραβίασης από τα credentials του Microsoft Azure.
Νωρίτερα αυτό το μήνα, ανακαλύφθηκε ότι η εταιρεία διαχείρισης δικτύου SolarWinds υπέστη μια κυβερνοεπίθεση, όπου οι απειλητικοί παράγοντες τροποποίησαν το software τους για να εγκαταστήσουν backdoors σε δίκτυα πελατών μέσω μιας επίθεσης αλυσίδας εφοδιασμού.
Λόγω αυτής της επίθεσης, οι πελάτες της SolarWinds προσπαθούν να αναλύσουν τα δίκτυα τους για να δουν αν είχαν πέσει θύματα της παραβίασης.
Αφού πραγματοποίησε ανάλυση του εσωτερικού και παραγωγικού της περιβάλλοντος, η CrowdStrike δήλωσε την Πέμπτη ότι δεν βρήκε σημάδια ότι η παραβίαση των SolarWinds την επηρέασε.
Οι εισβολείς παραβίασαν τους λογαριασμούς μεταπωλητών της Microsoft
Κατά τη διενέργεια της έρευνας τους, η CrowdStrike ενημερώθηκε από τη Microsoft στις 15 Δεκεμβρίου ότι ένας παραβιασμένος λογαριασμός μεταπωλητή Microsoft Azure χρησιμοποιήθηκε για να διαβαστούν τα email της CrowdStrike.
Μια πηγή δήλωσε στο Reuters ότι ο παραβιασμένος λογαριασμός μεταπωλητή είχε προσπαθήσει να επιτρέψει στα προνόμια «Read» του Office 365 να έχουν πρόσβαση στα email της CrowdStrike. Καθώς η CrowdStrike δεν χρησιμοποιεί το Office 365, η επίθεση απέτυχε.
Ο ανώτερος διευθυντής της Microsoft, Jeff Jones, δήλωσε στο Reuters ότι αυτή η επίθεση έγινε από τους εισβολείς που έκλεβαν τα credentials για το λογαριασμό του μεταπωλητή της Microsoft και όχι τα τρωτά σημεία στα προϊόντα ή τις υπηρεσίες τους στο cloud.
“Η έρευνα μας για πρόσφατες επιθέσεις διαπίστωσε περιστατικά που περιλαμβάνουν κατάχρηση των credentials για να αποκτήσουν πρόσβαση, τα οποία μπορούν να προκύψουν σε διάφορες μορφές”, δήλωσε ο Jones στο Reuters. “Δεν έχουμε εντοπίσει ευπάθειες ή παραβιάσεις προϊόντων ή υπηρεσιών cloud της Microsoft.”
Σε δύο άρθρα που δημοσιεύθηκαν αυτόν τον μήνα, η Microsoft αποκάλυψε πώς χρησιμοποιούνται τα κλεμμένα credentials και access tokens για τη στόχευση πελατών της Azure. Συνιστάται ανεπιφύλακτα οι διαχειριστές του Azure να διαβάσουν αυτά τα άρθρα για να μάθουν περισσότερα σχετικά με αυτές τις επιθέσεις.
Αφού έμαθε για αυτήν την απόπειρα επίθεσης, η CrowdStrike ανέλυσε το περιβάλλον Azure και διαπίστωσε ότι δεν έχει παραβιαστεί. Ωστόσο, κατά τη διάρκεια αυτής της ανάλυσης, θεώρησαν ότι ήταν δύσκολο να χρησιμοποιήσουν τα εργαλεία διαχείρισης της Azure για να απαριθμήσουν τα προνόμια που έχουν εκχωρηθεί στους μεταπωλητές και συνεργάτες τρίτου-μέρους.
Για να βοηθήσει τους διαχειριστές να αναλύσουν το περιβάλλον Microsoft Azure και να δουν ποια δικαιώματα έχουν εκχωρηθεί σε τρίτου-μέρους μεταπωλητές και συνεργάτες, το CrowdStrike κυκλοφόρησε το δωρεάν εργαλείο CrowdStrike Reporting Tool for Azure (CRT).
Πηγή πληροφοριών: bleepingcomputer.com
