CrowdStrike lanza la herramienta de seguridad gratuita de Azure después de un intento de ataque
Microsoft notificó a una de las firmas de ciberseguridad más populares, CrowdStrike, que los ciberdelincuentes intentaron leer los correos electrónicos de la compañía a través de credenciales comprometidas con Microsoft Azure. A principios de este mes, se notó que la empresa de administración de red SolarWinds sufría un ciberataque en el que los delincuentes cibernéticos modificaban su software para instalar puertas traseras en las redes de los clientes a través de un ataque a la cadena de suministro.
Este ataque hizo que los clientes de SolarWinds se movieran rápidamente para analizar sus redes para ver si estaban infectados en el ataque a la cadena de suministro. Después de pasar por una investigación de su entorno interno y de producción, CrowdStrike declaró el jueves que no habían descubierto ningún símbolo de que la violación de SolarWinds los afectara.
Mientras realizaba su análisis, Microsoft le dijo a CrowdStrike el 15 de diciembre que se utilizó una cuenta de revendedor de Microsoft Azure comprometida para intentar leer los correos electrónicos de CrowdStrike.
“Específicamente, identificaron la cuenta de Microsoft Azure de un revendedor utilizada para administrar las licencias de Microsoft Office de CrowdStrike que se observaron haciendo llamadas anormales a las API en la nube de Microsoft durante un período de 17 horas hace varios meses. Hubo un intento de leer el correo electrónico, que falló según lo confirmado por Microsoft. . Como parte de nuestra arquitectura de TI segura, CrowdStrike no usa el correo electrónico de Office 365 “, reveló el CTO de CrowdStrike, Michael Sentonas.
Después de conocer este intento de ataque, CrowdStrike investigó su entorno de Azure y descubrió que no estaba afectado. Sin embargo, durante esta investigación, les resultó difícil utilizar las herramientas administrativas de Azure para catalogar los privilegios asignados a revendedores y socios externos en su inquilino de Azure.
“Nos resultó particularmente difícil que muchos de los pasos necesarios para investigar no estén documentados, que no se pudiera realizar una auditoría a través de la API y que exista el requisito de tener derechos de administrador global para ver información importante que consideramos excesiva. La información clave debe ser de fácil acceso “, continuó Sentonas.
CrowdStrike ha lanzado la herramienta CrowdStrike Reporting Tool para Azure (CRT) para ayudar a los administradores a estudiar su entorno de Microsoft Azure y ver qué privilegios se asignan a revendedores y socios externos.
