Microsoft warnt Unternehmenskunden vor einer eskalierenden Welle von Cyberangriffen, die auf seinen Azure Blob Storage-Dienst abzielen.
In einer detaillierten Empfehlung, die am 20. Oktober veröffentlicht wurde, erläuterte das Threat Intelligence-Team des Unternehmens, wie Bedrohungsakteure häufig häufige Fehlkonfigurationen, schwache Anmeldeinformationen und schlechte Zugriffskontrollen aktiv ausnutzen, um vertrauliche Unternehmensdaten zu stehlen.
Die alert beschreibt eine ausgeklügelte Angriffskette, von der ersten Aufklärung bis zur umfassenden Datenexfiltration und-vernichtung. Unter Berufung auf die entscheidende Rolle, die Blob Storage bei der Verwaltung massiver Datenarbeitslasten für KI und Analysen spielt, fordert Microsoft Administratoren auf, strengere Sicherheitsprotokolle zu implementieren, um das wachsende Risiko zu mindern.
Ein hochwertiges Ziel, das zur Ausbeutung bereit ist
Azure Blob Storage ist zu einem Eckpfeiler der modernen Cloud-Infrastruktur geworden. Wird von Organisationen für den Umgang mit immensen Mengen unstrukturierter Daten verwendet.
Seine Flexibilität macht es für eine Reihe kritischer Funktionen unverzichtbar, darunter die Speicherung von KI-Trainingsmodellen, die Unterstützung von High-Performance Computing (HPC), die Ausführung umfangreicher Analysen, das Hosten von Medien und die Verwaltung von Unternehmens-Backups.
Leider macht diese zentrale Rolle es auch zu einem Hauptziel für Cyberkriminelle Daten mit großer Auswirkung.
Das Threat Intelligence-Team von Microsoft erläuterte Angreifern den strategischen Wert dieses Dienstes. „Blob Storage ist wie jeder Objektdatendienst ein wertvolles Ziel für Bedrohungsakteure, da es eine entscheidende Rolle bei der Speicherung und Verwaltung riesiger Mengen unstrukturierter Daten in großem Maßstab über verschiedene Arbeitslasten hinweg spielt.“
Das Team stellte außerdem fest, dass Bedrohungsakteure nicht nur opportunistisch sind, sondern systematisch nach anfälligen Umgebungen suchen. Sie versuchen, Systeme zu kompromittieren, die entweder herunterladbare Inhalte hosten oder als große Datenrepositorys dienen, was Blob Storage zu einem vielseitigen Vektor für eine Vielzahl von Angriffen macht.
Dekonstruktion der Cloud-Angriffskette
Der Weg von der ersten Untersuchung bis zur schwerwiegenden Datenschutzverletzung folgt einem genau definierten Muster, das Microsoft kartiert hat, um Verteidigern zu helfen, ihre Gegner zu verstehen. Bei dem Angriff handelt es sich nicht um ein einzelnes Ereignis, sondern um einen mehrstufigen Prozess, der lange vor dem Diebstahl von Daten beginnt.
Angreifer beginnen häufig mit einer umfassenden Aufklärung und verwenden automatisierte Tools, um nach Speicherkonten mit öffentlich zugänglichen Endpunkten oder vorhersehbaren Namen zu suchen. Sie können auch Sprachmodelle verwenden, um plausible Containernamen für effektiveres Brute-Forcing zu generieren.
Sobald ein potenzielles Ziel identifiziert ist, prüfen sie auf häufige Schwachstellen, wie etwa offengelegte Speicherkontoschlüssel oder gemeinsamen Zugriff Signatur (SAS)-Tokens, die in öffentlichen Code-Repositorys entdeckt werden.
Nach dem ersten Zugriff verlagert sich der Fokus auf die Etablierung der Persistenz. Ein Angreifer kann neue Rollen mit erweiterten Berechtigungen erstellen, langlebige SAS-Token generieren, die als Hintertüren fungieren, oder sogar Zugriffsrichtlinien auf Containerebene manipulieren, um anonymen Zugriff zu ermöglichen.
Von dort aus können sie sich seitlich bewegen und möglicherweise nachgelagerte Dienste wie Azure Functions oder Logic Apps auslösen, um ihre Berechtigungen weiter zu erweitern. Die letzten Phasen können eine Datenbeschädigung, Löschung oder groß angelegte Exfiltration umfassen, wobei häufig vertrauenswürdige Azure-native Tools wie AzCopy zum Mischen verwendet werden in den legitimen Netzwerkverkehr eindringen und der Erkennung entgehen.
Die realen Folgen solcher Fehlkonfigurationen können verheerend sein. Bei einem bemerkenswerten Vorfall in der Vergangenheit hat ein Personalvermittlungssoftwareunternehmen versehentlich fast 26 Millionen Dateien mit Lebensläufen offengelegt, als es einen nicht ordnungsgemäß gesicherten Azure Blob Storage-Container zurückließ Risiken.
Diese Art von Sicherheitsverletzung zeigt die entscheidende Bedeutung der Sicherheitslage, die Microsoft jetzt befürwortet.
Microsofts Blaupause für Verteidigung: Tools und Best Practices
Um diesen eskalierenden Bedrohungen entgegenzuwirken, legte das Unternehmen Wert auf eine mehrschichtige Verteidigungsstrategie, die sich auf proaktive Überwachung und Einhaltung der Sicherheit konzentriert Grundlagen.
Eine Schlüsselkomponente dieser Strategie ist Microsoft Defender for Storage, eine cloudnative Lösung, die eine zusätzliche Ebene an Sicherheitsinformationen bereitstellen soll.
Laut Microsoft „bietet Defender for Storage eine zusätzliche Ebene an Sicherheitsinformationen, die ungewöhnliche und potenziell schädliche Versuche erkennt, auf Speicherkonten zuzugreifen oder diese auszunutzen.“
Defender for Storage bietet mehrere Schutzebenen, einschließlich Malware-Scans kann in zwei primären Modi konfiguriert werden, gemäß der offiziellen Dokumentation.
Scannen beim Hochladen ermöglicht eine Analyse neuer oder geänderter Dateien nahezu in Echtzeit und überprüft sie automatisch auf Bedrohungen, sobald sie in die Datei gelangen System.
Für eine tiefere, proaktive Sicherheit ermöglicht das On-Demand-Scanning Administratoren das Scannen vorhandener Daten, was für die Reaktion auf Vorfälle und die Sicherung von Datenpipelines von entscheidender Bedeutung ist. Wenn Malware erkannt wird, kann eine automatische Behebung ausgelöst werden, um den bösartigen Blob unter Quarantäne zu stellen oder vorläufig zu löschen, den Zugriff zu blockieren und die Bedrohung abzuschwächen.
Über die Bereitstellung spezifischer Tools hinaus hat das Unternehmen mehrere wichtige Best Practices für alle Unternehmenskunden vorgestellt. Erstens müssen Organisationen das Prinzip der geringsten Rechte mithilfe der rollenbasierten Zugriffskontrolle (RBAC) von Azure strikt durchsetzen.
Dadurch wird sichergestellt, dass die Fähigkeit des Angreifers, Schaden anzurichten, erheblich eingeschränkt wird, wenn ein Konto kompromittiert wird. Benutzern und Diensten nur die erforderlichen Berechtigungen zu gewähren, ist ein grundlegender Schritt zur Reduzierung der Angriffsfläche.
Zweitens sollten Administratoren die Verwendung uneingeschränkter, langlebiger SAS-Token vermeiden. Diese Token können bei Kompromittierung eine permanente Hintertür darstellen und andere identitätsbasierte Kontrollen umgehen.
Die Implementierung einer umfassenden Protokollierung und Prüfung ist auch für die schnelle Erkennung und Reaktion auf Vorfälle von entscheidender Bedeutung.
Abschließend empfiehlt Microsoft dringend, den öffentlichen Netzwerkzugriff auf Speicherkonten nach Möglichkeit einzuschränken und sichere Übertragungsanforderungen durchzusetzen, um Daten während der Übertragung zu schützen.
Durch die Verschärfung dieser grundlegenden Anforderungen Mithilfe von Kontrollen und ständiger Wachsamkeit können Unternehmen ihr Risiko erheblich reduzieren und ihre kritischen Cloud-Daten besser vor Gefährdungen schützen.
