Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode

CISA lanza Azure, herramienta de detección de actividad maliciosa

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha lanzado una herramienta basada en PowerShell que ayuda a detectar aplicaciones y cuentas potencialmente comprometidas en entornos Azure / Microsoft 365.

Esto se produce después de que Microsoft revelara cómo los actores de amenazas están utilizando activamente las credenciales robadas y los tokens de acceso para apuntar a los clientes de Azure .

Se recomienda encarecidamente a los administradores de Azure que revisen ambos artículos para obtener más información sobre estos ataques y descubrir cómo detectar comportamientos anómalos en sus inquilinos.

Microsoft and Oracle to Interconnect Microsoft Azure and Oracle Cloud |  Oracle Database Insider Blog
“CISA ha creado una herramienta gratuita para la detección de actividades inusuales y potencialmente malicioso que pone en peligro a los usuarios y aplicaciones en un entorno Azure / Microsoft O365“, la agencia federal de Estados Unidos , dijo .

“La herramienta está diseñada para que la utilicen los encargados de responder a incidentes y se centra de manera estricta en la actividad endémica de los recientes ataques basados ​​en identidad y autenticación que se han visto en múltiples sectores”.

Cómo funciona la herramienta de CISA

La herramienta basada en PowerShell creada por el equipo de Cloud Forensics de CISA y denominada  Sparrow se puede utilizar para reducir conjuntos más grandes de módulos de investigación y telemetría “a aquellos específicos de ataques recientes a fuentes y aplicaciones de identidad federadas”.

Sparrow comprueba el registro de auditoría unificado de Azure / M365 en busca de indicadores de compromiso (IoC), enumera los dominios de Azure AD y comprueba las entidades de servicio de Azure y sus permisos de API de Microsoft Graph para descubrir posibles actividades maliciosas.

La lista completa de comprobaciones que realiza una vez iniciada en la máquina de análisis incluye:

– Busca modificaciones en la configuración del dominio y la federación en el dominio de un inquilino.
– Busca modificaciones o modificaciones de credenciales en una aplicación.
– Busca modificaciones o modificaciones de credenciales a una entidad de servicio
– Busca asignaciones de roles de aplicaciones a entidades de servicio, usuarios y grupos.
– Busca cualquier consentimiento de aplicación o OAuth
– Busca anomalías en el uso del token SAML (UserAuthenticationValue de 16457) en los registros de auditoría unificados
– Busca inicios de sesión de PowerShell en buzones de correo
– Busca AppID conocido para Exchange Online PowerShell
– Búsquedas de AppID conocidas para PowerShell
– Busca el AppID para ver si accedió a los elementos de correo
– Busca AppID para ver si accedió a elementos de Sharepoint o OneDrive
– Busca la cadena de agente de usuario de WinRM en las operaciones de inicio de sesión del usuario y error de inicio de sesión del usuario

Herramienta de seguridad gratuita de Azure también lanzada por CrowdStrike

La empresa de ciberseguridad CrowdStrike lanzó una herramienta de detección similar después de investigar un hackeo fallido luego de una advertencia recibida de Microsoft de que la cuenta de un revendedor de Microsoft Azure comprometida había intentado leer los correos electrónicos de la compañía usando credenciales de Azure comprometidas.

Después de analizar los entornos internos y de producción después de la violación de SolarWinds, CrowdStrike dijo la semana pasada que no encontró evidencia de haber sido afectado por el ataque a la cadena de suministro.

Sin embargo, se inició una segunda investigación tras la alerta de Microsoft que se produjo mientras Crowdstrike buscaba IOC asociados con los piratas informáticos de SolarWinds en su entorno.

Después de analizar su entorno de Azure y no encontrar evidencia de compromiso, Crowdstrike también descubrió que las herramientas administrativas de Azure eran “particularmente difíciles” de usar.

Para ayudar a los administradores a analizar sus entornos de Azure y obtener una descripción general más sencilla de los privilegios asignados a revendedores y socios de terceros, CrowdStrike lanzó la herramienta gratuita CrowdStrike Reporting Tool for Azure (CRT) .

Vía: Bleepingcomputer

Comentarios

comentarios

Dragora

Posts Relacionados

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Click to listen highlighted text!