Microsoft avertit les entreprises clientes d’une vague croissante de cyberattaques ciblant son service Azure Blob Storage.
Dans un avis détaillé publié le 20 octobre, l’équipe Threat Intelligence de l’entreprise a expliqué comment les acteurs malveillants exploitent activement les erreurs de configuration courantes, les informations d’identification faibles et les contrôles d’accès médiocres pour voler des données d’entreprise sensibles.
Le alert détaille une chaîne d’attaque sophistiquée, depuis la reconnaissance initiale jusqu’à l’exfiltration et la destruction de données à grande échelle. Citant le rôle essentiel que joue Blob Storage dans la gestion de charges de travail massives de données pour l’IA et l’analyse, Microsoft exhorte les administrateurs à mettre en œuvre des protocoles de sécurité plus stricts pour atténuer le risque croissant.
Une cible de grande valeur prête à être exploitée
Le stockage Blob Azure est devenu la pierre angulaire de l’infrastructure cloud moderne, utilisé par organisations pour gérer d’immenses volumes de données non structurées.
Sa flexibilité le rend indispensable pour une série de fonctions critiques, notamment le stockage des modèles de formation de l’IA, la prise en charge du calcul haute performance (HPC), l’exécution d’analyses à grande échelle, l’hébergement de médias et la gestion des sauvegardes d’entreprise.
Malheureusement, ce rôle central en fait également une cible privilégiée pour les cybercriminels à la recherche d’un impact important. données.
L’équipe Threat Intelligence de Microsoft a expliqué la valeur stratégique de ce service aux attaquants. « Blob Storage, comme tout service de données objet, est une cible de grande valeur pour les acteurs de la menace en raison de son rôle essentiel dans le stockage et la gestion d’énormes quantités de données non structurées à grande échelle sur diverses charges de travail. »
L’équipe a en outre noté que les acteurs de la menace ne sont pas seulement opportunistes, mais recherchent systématiquement des environnements vulnérables. Ils cherchent à compromettre les systèmes qui hébergent du contenu téléchargeable ou servent de référentiels de données à grande échelle, faisant du stockage Blob un vecteur polyvalent pour un large éventail d’attaques.
Déconstruire la chaîne d’attaque du cloud
Le chemin depuis l’enquête initiale jusqu’à la violation majeure de données suit un modèle bien défini, que Microsoft a cartographié pour aider les défenseurs à comprendre leurs adversaires. L’attaque n’est pas un événement unique mais un processus en plusieurs étapes qui commence bien avant que des données ne soient volées.
Les attaquants commencent souvent par une reconnaissance à grande échelle, en utilisant des outils automatisés pour rechercher des comptes de stockage avec des points de terminaison accessibles publiquement ou des noms prévisibles. Ils peuvent également utiliser des modèles de langage pour générer des noms de conteneurs plausibles pour un forçage brutal plus efficace.
Une fois qu’une cible potentielle est identifiée, ils recherchent les faiblesses courantes, telles que les clés de compte de stockage exposées ou l’accès partagé. (SAS) découverts dans les référentiels de code publics.
Après avoir obtenu l’accès initial, l’accent est mis sur l’établissement de la persistance. Un attaquant peut créer de nouveaux rôles avec des privilèges élevés, générer des jetons SAS de longue durée qui fonctionnent comme des portes dérobées, ou même manipuler les politiques d’accès au niveau du conteneur pour permettre un accès anonyme.
À partir de là, ils peuvent se déplacer latéralement, déclenchant potentiellement des services en aval comme Azure Functions ou Logic Apps pour élever davantage leurs privilèges. Les étapes finales peuvent impliquer une corruption, une suppression ou une exfiltration de données à grande échelle, en utilisant souvent des outils Azure natifs fiables comme AzCopy pour se fondre dans la masse. avec un trafic réseau légitime et échapper à la détection.
Les conséquences réelles de telles erreurs de configuration peuvent être dévastatrices. Lors d’un incident passé notable, une société de logiciels de recrutement a exposé par inadvertance près de 26 millions de fichiers contenant des CV lorsqu’elle a quitté un conteneur Azure Blob Storage mal sécurisé, un incident très médiatisé qui met en évidence le risques.
Ce type de violation montre l’importance cruciale de la posture de sécurité pour laquelle Microsoft préconise désormais.
Le plan de défense de Microsoft : outils et bonnes pratiques
Pour contrer ces menaces croissantes, l’entreprise a mis l’accent sur une stratégie de défense à plusieurs niveaux centrée sur une surveillance proactive et le respect des règles de sécurité. fondamentaux.
Un élément clé de cette stratégie est Microsoft Defender for Storage, une solution cloud native conçue pour fournir une couche supplémentaire de renseignements sur la sécurité.
Selon Microsoft, « Defender for Storage fournit une couche supplémentaire de renseignements sur la sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. »
Defender for Storage offre plusieurs niveaux de protection, y compris les logiciels malveillants. analyse qui peut être configurée selon deux modes principaux, selon la documentation officielle.
L’analyse lors du téléchargement fournit une analyse en temps quasi réel des fichiers nouveaux ou modifiés, en les vérifiant automatiquement à la recherche de menaces dès leur entrée. du système.
Pour une sécurité plus approfondie et proactive, l’analyse à la demande permet aux administrateurs d’analyser les données existantes, ce qui est crucial pour la réponse aux incidents et la sécurisation des pipelines de données. Lorsqu’un logiciel malveillant est détecté, une correction automatisée peut être déclenchée pour mettre en quarantaine ou supprimer de manière logicielle le blob malveillant, bloquant ainsi l’accès et atténuant la menace.
Au-delà du déploiement d’outils spécifiques, l’entreprise a présenté plusieurs bonnes pratiques essentielles pour toutes les entreprises clientes. Premièrement, les organisations doivent appliquer rigoureusement le principe du moindre privilège à l’aide du contrôle d’accès basé sur les rôles (RBAC) d’Azure.
Cela garantit que si un compte est compromis, la capacité de l’attaquant à causer des dommages est sévèrement limitée. Accorder uniquement les autorisations nécessaires aux utilisateurs et aux services est une étape fondamentale pour réduire la surface d’attaque.
Deuxièmement, les administrateurs doivent éviter d’utiliser des jetons SAS sans restriction et à longue durée de vie. Ces jetons peuvent fournir une porte dérobée permanente en cas de compromission, contournant d’autres contrôles basés sur l’identité.
La mise en œuvre d’une journalisation et d’un audit complets est également cruciale pour détecter et répondre rapidement aux incidents.
Enfin, Microsoft conseille fortement de restreindre l’accès du réseau public aux comptes de stockage lorsque cela est possible et d’appliquer des exigences de transfert sécurisé pour protéger les données en transit.
En renforçant ces exigences. Grâce à des contrôles fondamentaux et à une vigilance constante, les organisations peuvent réduire considérablement leurs risques et mieux protéger leurs données cloud critiques contre toute compromission.
