CrowdStrikeは、攻撃を試みた後、無料のAzureセキュリティツールをリリースします
Microsoftは、最も人気のあるサイバーセキュリティ会社の1つであるCrowdStrikeに、Microsoft Azureの資格情報に侵害されて、サイバー犯罪者が会社の電子メールを読もうとしたことを通知しました。今月初め、SolarWindsネットワーク管理会社は、サイバー攻撃に見舞われ、サイバー犯罪者がソフトウェアを変更して、サプライチェーン攻撃を通じて顧客のネットワークにバックドアをインストールしたことに気づきました。
この攻撃により、SolarWindsの顧客はネットワークを分析して、サプライチェーン攻撃に感染していないかどうかをすばやく確認することができました。 CrowdStrikeは木曜日、内部環境と本番環境の調査を行った後、SolarWindsの侵害が彼らに影響を与えたシンボルを発見しなかったと述べました。
マイクロソフトは分析の実行中に、12月15日にCrowdStrikeに、侵害されたMicrosoftAzureリセラーのアカウントがCrowdStrikeの電子メールを読み取ろうとするために利用されたと語った。
「具体的には、CrowdStrikeのMicrosoftOfficeライセンスの管理に使用される再販業者のMicrosoftAzureアカウントが、数か月前の17時間にMicrosoftクラウドAPIへの異常な呼び出しを行っていることが確認されました。電子メールを読み取ろうとしましたが、Microsoftの確認により失敗しました。 。安全なITアーキテクチャの一部として、CrowdStrikeはOffice365の電子メールを使用しません」とCrowdStrikeのCTOであるMichaelSentonasが明らかにしました。
この攻撃の試みを知った後、CrowdStrikeはAzure環境を調査し、影響を受けていないことを発見しました。それにもかかわらず、この調査中に、Azureの管理ツールを使用して、Azureテナント内のサードパーティのリセラーおよびパートナーに割り当てられた特権をカタログ化することは困難であることがわかりました。
「調査に必要な手順の多くが文書化されておらず、APIを介して監査できず、過剰であることが判明した重要な情報を表示するためのグローバル管理者権限が必要であることが特に困難でした。重要な情報は簡単にアクセスできる」と語った。
CrowdStrike Reporting Tool for Azure(CRT)ツールがCrowdStrikeによってリリースされ、管理者がMicrosoft Azure環境を調査し、サードパーティのリセラーおよびパートナーに割り当てられている特権を確認できるようになりました。