CrowdStrike rilascia lo strumento di sicurezza Azure gratuito dopo il tentativo di attacco
Microsoft ha notificato a una delle più famose società di sicurezza informatica CrowdStrike che le e-mail della società hanno tentato di essere lette da criminali informatici compromesse dalle credenziali di Microsoft Azure. All’inizio di questo mese, la società di gestione della rete SolarWinds ha subito un attacco informatico in cui i criminali informatici hanno modificato il proprio software per installare backdoor sulle reti dei clienti attraverso un attacco alla catena di approvvigionamento.
Questo attacco ha portato i clienti di SolarWinds a passare rapidamente ad analizzare le loro reti per vedere se erano stati infettati dall’attacco alla catena di approvvigionamento. Dopo aver esaminato il loro ambiente interno e di produzione, CrowdStrike ha dichiarato giovedì di non aver scoperto alcun simbolo che la violazione di SolarWinds li abbia colpiti.
Durante l’esecuzione della loro analisi, il 15 dicembre Microsoft ha dichiarato a CrowdStrike che un account di rivenditore Microsoft Azure compromesso è stato utilizzato per provare a leggere le e-mail di CrowdStrike.
“In particolare, hanno identificato un account Microsoft Azure di un rivenditore utilizzato per la gestione delle licenze Microsoft Office di CrowdStrike è stato osservato effettuare chiamate anomale alle API cloud di Microsoft durante un periodo di 17 ore diversi mesi fa. C’è stato un tentativo di leggere la posta elettronica, che non è riuscito come confermato da Microsoft Come parte della nostra architettura IT sicura, CrowdStrike non utilizza la posta elettronica di Office 365 “, ha rivelato Michael Sentonas, CTO di CrowdStrike.
Dopo aver saputo di questo tentativo di attacco, CrowdStrike ha esaminato il loro ambiente Azure e ha scoperto che non era interessato. Tuttavia, durante questa indagine, hanno trovato difficile utilizzare gli strumenti di amministrazione di Azure per catalogare i privilegi assegnati a rivenditori e partner di terze parti nel loro tenant di Azure.
“Abbiamo trovato particolarmente impegnativo il fatto che molti dei passaggi necessari per indagare non fossero documentati, che non fosse possibile eseguire l’audit tramite API ed è necessario disporre dei diritti di amministratore globale per visualizzare informazioni importanti che abbiamo ritenuto eccessive. Le informazioni chiave dovrebbero essere facilmente accessibile “, ha continuato Sentonas.
Lo strumento CrowdStrike Reporting Tool per Azure (CRT) è stato rilasciato da CrowdStrike per aiutare gli amministratori a studiare il proprio ambiente Microsoft Azure e vedere quali privilegi sono assegnati a rivenditori e partner di terze parti.
