CrowdStrike lanzó recientemente una herramienta de seguridad gratuita de Azure para contrarrestar un ataque fallido que aprovechaba credenciales de Azure comprometidas.
El equipo de seguridad de Microsoft descubrió mientras investigaba el ataque a SolarWind, el pasado 15 de diciembre de 2020, varios intentos de lectura de correos electrónicos de CrowdStrike utilizando una cuenta comprometida de un revendedor de Microsoft Azure. Al parecer, el atacante usó una cuenta dedicada a la administración de licencias de Microsoft Office de CrowdStrike para realizar llamadas anormales a la API de Microsoft Cloud en una ventana de tiempo de 17 horas.
No obstante, pese a los intentos fallidos de lectura del correo electrónico, dado que CrowdStrike no utiliza el correo electrónico de Office 365 siguiendo su propia arquitectura de TI seguridad, no se reportó ningún impacto negativo. Para administrar los privilegios asignados a revendedores y socios de terceros en Azure, CrowdStrike emplea una herramienta propia.
Tras este incidente, CrowdStrike anunció el lanzamiento de CrowdStrike Reporting Tool para Azure (CRT). Esta herramienta gratuita está pensada para la revisión rápida y sencilla de los permisos en sus entornos de Azure, ayudando a identificar las configuraciones inseguras y proporcionar consejos para mitigar el riesgo.
La empresa de seguridad detectó que a los usuarios les resulta bastante complicado el uso de las herramientas administrativas de Azure para conocer las relaciones y permisos existentes en Azure, especialmente los relativos a revendedores y terceras partes. También han reportado que muchos de los pasos necesarios para realizar estas labores no están suficientemente documentados, que no pueden auditarse usando la API y que para acceder a parte de la información necesaria se exigen permisos de administrador globales.
Más información:
Deja una respuesta