CrowdStrike veröffentlicht nach einem Angriffsversuch das kostenlose Azure-Sicherheitstool
Microsoft hat einem der beliebtesten Cybersicherheitsunternehmen, CrowdStrike, mitgeteilt, dass versucht wurde, die E-Mails des Unternehmens von Cyberkriminellen zu lesen, indem sie durch Microsoft Azure-Anmeldeinformationen kompromittiert wurden. Anfang dieses Monats wurde bei der SolarWinds-Netzwerkverwaltungsfirma ein Cyberangriff festgestellt, bei dem Cyber-Straftäter ihre Software geändert haben, um durch einen Supply-Chain-Angriff Hintertüren in Kundennetzwerken zu installieren.
Dieser Angriff führte dazu, dass die SolarWinds-Kunden ihre Netzwerke schnell analysierten, um festzustellen, ob sie im Supply-Chain-Angriff infiziert waren. Nach einer Untersuchung ihres Inneren und ihrer Produktionsumgebung gab CrowdStrike am Donnerstag bekannt, dass sie keine Symbole entdeckt hatten, von denen die Verletzung von SolarWinds betroffen war.
Während der Analyse teilte Microsoft CrowdStrike am 15. Dezember mit, dass ein kompromittiertes Microsoft Azure-Reseller-Konto verwendet wurde, um die E-Mails von CrowdStrike zu lesen.
“Insbesondere wurde festgestellt, dass das Microsoft Azure-Konto eines Wiederverkäufers, das für die Verwaltung der Microsoft Office-Lizenzen von CrowdStrike verwendet wird, vor einigen Monaten während eines Zeitraums von 17 Stunden ungewöhnliche Aufrufe von Microsoft Cloud-APIs ausführte. Es wurde versucht, E-Mails zu lesen, was fehlgeschlagen ist, wie von Microsoft bestätigt Als Teil unserer sicheren IT-Architektur verwendet CrowdStrike keine Office 365-E-Mails “, so Michael Sentonas, CTO von CrowdStrike.
Nachdem CrowdStrike von diesem Angriffsversuch erfahren hatte, untersuchte es die Azure-Umgebung und stellte fest, dass sie nicht betroffen war. Während dieser Untersuchung fiel es ihnen jedoch schwer, die Verwaltungstools von Azure zu verwenden, um Berechtigungen zu katalogisieren, die Wiederverkäufern und Partnern von Drittanbietern in ihrem Azure-Mandanten zugewiesen wurden.
“Wir fanden es besonders schwierig, dass viele der zur Untersuchung erforderlichen Schritte nicht dokumentiert sind, die Prüfung über die API nicht möglich war und dass globale Administratorrechte wichtige Informationen anzeigen müssen, die wir als übermäßig empfunden haben. Wichtige Informationen sollten vorhanden sein.” leicht zugänglich sein “, fuhr Sentonas fort.
Das CrowdStrike Reporting Tool für Azure (CRT) wurde von CrowdStrike veröffentlicht, um Administratoren dabei zu helfen, ihre Microsoft Azure-Umgebung zu untersuchen und festzustellen, welche Berechtigungen Wiederverkäufern und Partnern von Drittanbietern zugewiesen wurden.