В средине декабря 2020 года Microsoft уведомила компанию CrowdStrike о том, что взломанная учетная запись неназванного реселлера Microsoft Azure использовалась для попытки чтения электронных писем CrowdStrike.

«Они определили, что несколько месяцев назад аккаунт реселлера Microsoft Azure, используемый для управления лицензиями Microsoft Office CrowdStrike, совершал подозрительные вызовы облачных API Microsoft на протяжении 17 часов. Была предпринята попытка прочитать электронную почту, которая не удалась, что подтверждают в Microsoft. Дело в том, что CrowdStrike не использует электронную почту Office 365», — писали специалисты компании на прошлой неделе.

В свою очередь, представители Microsoft сообщили Reuters, что атака была совершена злоумышленниками, которые похитили учетные данные от аккаунта реселлера Microsoft, и не была связана с какими-либо уязвимостями в продуктах или облачных сервисах. Также обе компании подчеркнули, что произошедшее не было связано с недавней компрометаций компании SolarWinds и последовавшей за взломом шпионской операцией.

Узнав о попытке атаки, эксперты CrowdStrike проанализировал свою среду Azure и пришли к выводу, что та не была скомпрометирована. Однако в ходе анализа исследователи обнаружили, что использовать инструменты администрирования Azure для выявления привилегий, назначенных сторонним реселлерам, крайне трудно.

«Нам было очень сложно, так как многие шаги, необходимые для нашего расследования, оказались не задокументированы, не было возможности провести аудит с помощью API, а для просмотра важной информации требовались права глобального администратора, что мы посчитали чрезмерным. Ключевая информация должна быть легкодоступна», — пишут в компании.

Чтобы помочь администраторам, которые оказались в таком же положении (которым необходимо проанализировать среду Microsoft Azure и узнать, какие права предоставлены сторонним реселлерам и партнерам), CrowdStrike создала и выпустила собственный бесплатный инструмент CrowdStrike Reporting Tool для Azure. Этот инструмент проанализирует среду Azure и создаст исчерпывающий отчет со всей необходимой информацией.

Оставить мнение