CrowdStrike lança ferramenta de segurança Azure gratuita após tentativa de ataque
A Microsoft notificou uma das mais populares firmas de segurança cibernética CrowdStrike de que os e-mails da empresa foram tentados por criminosos cibernéticos através do comprometimento de credenciais do Microsoft Azure. No início deste mês, a empresa de gerenciamento de rede SolarWinds sofreu um ataque cibernético em que os criminosos alteraram seu software para instalar backdoors nas redes dos clientes por meio de um ataque à cadeia de suprimentos.
Esse ataque levou os clientes da SolarWinds a agirem rapidamente para analisar suas redes para ver se elas foram infectadas no ataque à cadeia de suprimentos. Depois de passar por uma investigação de seu ambiente interno e de produção, CrowdStrike afirmou na quinta-feira que não havia descoberto nenhum símbolo de que a violação SolarWinds os afetou.
Enquanto realizava sua análise, a Microsoft disse ao CrowdStrike em 15 de dezembro que uma conta comprometida de revendedor do Microsoft Azure foi utilizada para tentar ler os e-mails de CrowdStrike.
“Especificamente, eles identificaram que uma conta do revendedor do Microsoft Azure usada para gerenciar licenças do Microsoft Office da CrowdStrike foi observada fazendo chamadas anormais para APIs da nuvem da Microsoft durante um período de 17 horas, vários meses atrás. Houve uma tentativa de ler e-mail, que falhou, conforme confirmado pela Microsoft . Como parte de nossa arquitetura de TI segura, CrowdStrike não usa e-mail do Office 365 “, revelado por CrowdStrike CTO Michael Sentonas.
Depois de saber sobre essa tentativa de ataque, CrowdStrike investigou seu ambiente Azure e descobriu que ele não foi afetado. No entanto, durante esta investigação, eles acharam difícil usar as ferramentas administrativas do Azure para catalogar os privilégios atribuídos a revendedores e parceiros terceirizados em seu locatário do Azure.
“Achamos particularmente desafiador que muitas das etapas necessárias para a investigação não estejam documentadas, haja uma incapacidade de auditoria via API e haja a exigência de direitos de administrador globais para visualizar informações importantes que consideramos excessivas. As informações principais devem ser facilmente acessível “, continuou Sentonas.
A ferramenta CrowdStrike Reporting Tool for Azure (CRT) foi lançada pela CrowdStrike para ajudar os administradores a estudar seu ambiente Microsoft Azure e ver quais privilégios são alocados para revendedores e parceiros terceirizados.