Насколько безопасны ваши конфиденциальные бизнес-данные в Microsoft Azure?

Опубликовано: 28 Февраля, 2023
Насколько безопасны ваши конфиденциальные бизнес-данные в Microsoft Azure?

Недавно я разговаривал с Зуром Ульяницким, руководителем отдела исследований в области безопасности в XM Cyber, о недавнем сообщении в блоге, которое я прочитал, в котором Microsoft сообщила, что более 140 реселлеров и поставщиков технологических услуг стали мишенью российского национального государственного деятеля Nobelium через облако Azure. оказание услуг. Это та же хакерская группа, которая организовала атаки на клиентов SolarWinds в прошлом году; теперь они используют эти методы для атак на предприятия в общедоступном облаке. Зур признался мне, что XM Cyber Research обнаружила несколько дополнительных методов, которые злоумышленники могут использовать для доступа к конфиденциальным данным в Microsoft Azure. Я спросил его, может ли он поделиться некоторыми примерами с нашими читателями TechGenix. Он предоставил мне информацию о трех видах атак, которыми мы делимся здесь для наших читателей, которые используют или планируют использовать Microsoft Azure в качестве поставщика общедоступного облака. Для ИТ-специалистов важно быть в курсе последних событий в области кибербезопасности, и описания Зуром этих атак и его рекомендации по смягчению последствий могут помочь организациям защитить свои активы в Microsoft Azure.

Изображение 135
Шаттерсток

Ориентация на вашу аренду Azure AD

Первый тип атак, описанных Зуром, направлен на получение полного контроля над арендованной организацией Azure Active Directory. «Обычно группы создаются для упрощения рабочего процесса, — говорит Зур. «Например, когда организация получает нового сотрудника, организация добавит сотрудника в соответствующую группу отделов. Это автоматически установит некоторые метаданные о сотруднике и назначит соответствующие разрешения в соответствии с его отделом». Злоумышленник с любым из следующих разрешений может изменить владельцев группы или добавить участников группы:

  • Directory.ReadWrite.All
  • Группа.ReadWrite.Все
  • GroupMember.ReadWrite.All

«Злоумышленник, которому удалось скомпрометировать разрешения группы, может использовать эту функцию для методов эскалации, которые могут привести к полной компрометации арендатора или даже к компрометации локального домена», — говорит Зур.

Зур говорит, что, чтобы избежать этой возможности для хакеров, «компании могут использовать привилегированное управление идентификацией. Это обеспечивает ограничение на привилегированные роли и позволяет вам видеть, кто имеет доступ в любое время, чтобы обеспечить своевременный доступ к среде».

Ориентация на ваши службы Office 365

Следующий тип атаки на ваши данные Azure, о котором говорил Зур, направлен на получение доступа к службам Microsoft Office 365 организации. «Почти у каждой компании есть проблема потеряться в море множества версий документов, — говорит Зур. «Трудно управлять и кошмар соответствия. По мере развития облачных функций Microsoft OneDrive многие компании почти полностью переходят на облако OneDrive». Хотя это обеспечивает невероятное удобство и доступ пользователей, злоумышленник с любым из следующих разрешений может читать и загружать ваши файлы OneDrive в клиенте:

  • Сайты.Читать.Все
  • Сайты.ReadWrite.All
  • Файлы.ReadWrite.All
  • Сайты.Управление.Все
  • Сайты.FullControl.All

«Влияние успешной атаки огромно, — продолжает он. «Злоумышленник может получить доступ ко всем OneDrive, связанным с атакуемым арендатором. Это может раскрыть очень конфиденциальную информацию или привести к дальнейшей эксплуатации.

Простое решение? «Используйте политики условного доступа, — говорит Зур. «Например, принудительно применять многофакторную аутентификацию для любого пользователя. Это означает, что каждый должен подтвердить доступ к OneDrive с помощью кода, отправленного по электронной почте или с мобильного устройства. Это может показаться бременем для сотрудников. Однако это лучшее, что они могут сделать для безопасности своих критически важных активов и для предприятия».

Ориентация на виртуальные машины и базы данных Azure

Третий вектор атаки Azure, который мне объяснил Зур, — это атаки, направленные на получение контроля над различными сервисами Azure IaaS, такими как виртуальные машины и базы данных Azure. Злоумышленник со следующими разрешениями сможет выполнять команды на локальных устройствах, управляемых решением Intune MDM:

  • DeviceManagementConfiguration.ReadWrite.All
  • DeviceManagementManagedDevices.ReadWrite.All

«Последствия злоупотребления этой техникой катастрофичны, — говорит Зур. «Это означает, что злоумышленник может вернуться из облака обратно в локальную среду с разрешениями NTAuthority SYSTEM. Как только злоумышленник получит доступ к локальной среде, он сможет перемещаться в горизонтальном направлении для дальнейшего использования. Смягчить эту стратегию можно путем постоянного мониторинга и аудита вашего диспетчера ресурсов (который управляет всей инфраструктурой, предоставляемой Microsoft) и Azure Active Directory (который управляет вашими удостоверениями)».

Заключительные мысли о безопасности ваших данных Azure

Зур резюмирует, говоря, что методы, обнаруженные XM Cyber Research, не должны считаться уязвимостями, потому что уязвимости — это ошибки. «Технологии, которые я описал, включают в себя конструктивные особенности Microsoft, которые очень выгодны для клиентов. Тем не менее, злоупотребление ими со стороны злоумышленника может привести к катастрофическим повреждениям. Корпорация Майкрософт постоянно разрабатывает функции, помогающие организациям лучше управлять своей средой Azure. Однако по мере того, как хакеры становятся все более умными, управление путями атаки остается необходимым. Природа этих методов относится к категории неправильной конфигурации. Дело не в том, что Azure полна недостатков. Просто хакеры знают, куда идти, а вы, к сожалению, пока не знаете.

В заключение он сказал: «В XM Cyber мы постоянно ищем новые векторы атак в облачных или локальных средах. Узнав об этой атаке, мы провели несколько симуляций с использованием нашей технологии и обнаружили, что злоумышленники могут использовать несколько дополнительных методов для доступа к конфиденциальным данным в Microsoft Azure». Будем надеяться, что они смогут продолжить эту хорошую работу, которую они делают в XM Cyber, чтобы наши бизнес-активы, хранящиеся в Microsoft Azure, могли оставаться в безопасности.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023