CrowdStrike publie un outil de sécurité Azure gratuit après une tentative d’attaque
Microsoft a informé l’une des sociétés de cybersécurité les plus populaires CrowdStrike que les e-mails de la société avaient été tentés d’être lus par des cybercriminels via des informations d’identification Microsoft Azure. Au début de ce mois, la société de gestion de réseau SolarWinds a été remarquée victime d’une cyberattaque au cours de laquelle des cybercriminels ont modifié leur logiciel pour installer des portes dérobées sur les réseaux des clients via une attaque de la chaîne d’approvisionnement.
Cette attaque a conduit les clients de SolarWinds à analyser rapidement leurs réseaux pour voir s’ils étaient infectés par l’attaque de la chaîne d’approvisionnement. Après avoir mené une enquête sur leur environnement interne et de production, CrowdStrike a déclaré jeudi qu’il n’avait découvert aucun symbole indiquant que la violation de SolarWinds les avait affectés.
Lors de son analyse, Microsoft a déclaré à CrowdStrike le 15 décembre qu’un compte de revendeur Microsoft Azure compromis avait été utilisé pour essayer de lire les e-mails de CrowdStrike.
“Plus précisément, ils ont identifié le compte Microsoft Azure d’un revendeur utilisé pour gérer les licences Microsoft Office de CrowdStrike qui avait fait des appels anormaux aux API cloud de Microsoft au cours d’une période de 17 heures il y a plusieurs mois. Une tentative de lecture des e-mails a échoué, comme l’a confirmé Microsoft . Dans le cadre de notre architecture informatique sécurisée, CrowdStrike n’utilise pas la messagerie Office 365 », a révélé Michael Sentonas, directeur technique de CrowdStrike.
Après avoir pris connaissance de cette tentative d’attaque, CrowdStrike a enquêté sur leur environnement Azure et a constaté qu’il n’était pas affecté. Néanmoins, au cours de cette enquête, ils ont trouvé difficile d’utiliser les outils d’administration d’Azure pour cataloguer les privilèges attribués aux revendeurs et partenaires tiers dans leur locataire Azure.
«Nous avons trouvé particulièrement difficile que de nombreuses étapes requises pour enquêter ne soient pas documentées, qu’il y ait une incapacité à effectuer un audit via l’API, et que des droits d’administration globaux soient nécessaires pour afficher des informations importantes que nous avons trouvées excessives. Les informations clés devraient être facilement accessible », a poursuivi Sentonas.
L’outil CrowdStrike Reporting Tool for Azure (CRT) a été publié par CrowdStrike pour aider les administrateurs à étudier leur environnement Microsoft Azure et à voir quels privilèges sont alloués aux revendeurs et partenaires tiers.
