Microsoft avverte i clienti aziendali di un’ondata crescente di attacchi informatici contro il suo servizio di archiviazione BLOB di Azure.
In un avviso dettagliato pubblicato il 20 ottobre, il team di Threat Intelligence dell’azienda ha delineato come gli autori delle minacce stiano sfruttando attivamente configurazioni errate comuni, credenziali deboli e controlli di accesso inadeguati per rubare dati aziendali sensibili.
Il avviso descrive in dettaglio una sofisticata catena di attacchi, dalla ricognizione iniziale all’esfiltrazione e distruzione dei dati su vasta scala. Citando il ruolo fondamentale svolto dall’archiviazione BLOB nella gestione di enormi carichi di lavoro di dati per l’intelligenza artificiale e l’analisi, Microsoft esorta gli amministratori a implementare protocolli di sicurezza più forti per mitigare il rischio crescente.
Un obiettivo di alto valore pronto per lo sfruttamento
L’archiviazione BLOB di Azure è diventata una pietra angolare della moderna infrastruttura cloud, utilizzata dalle organizzazioni per gestire immensi volumi di dati non strutturati.
La sua flessibilità lo rende indispensabile per una serie di funzioni critiche, tra cui l’archiviazione di modelli di formazione AI, il supporto del calcolo ad alte prestazioni (HPC), l’esecuzione di analisi su larga scala, l’hosting di supporti e la gestione dei backup aziendali.
Purtroppo, questo ruolo centrale lo rende anche un obiettivo primario per i criminali informatici che cercano dati ad alto impatto.
Il team di Threat Intelligence di Microsoft ha spiegato agli aggressori il valore strategico di questo servizio.”L’archiviazione BLOB, come qualsiasi servizio dati a oggetti, è un obiettivo di grande valore per gli autori delle minacce grazie al suo ruolo fondamentale nell’archiviazione e nella gestione di enormi quantità di dati non strutturati su larga scala in diversi carichi di lavoro.”
Il team ha inoltre osservato che gli autori delle minacce non sono solo opportunisti ma cercano sistematicamente ambienti vulnerabili. Stanno cercando di compromettere i sistemi che ospitano contenuti scaricabili o fungono da repository di dati su larga scala, rendendo l’archiviazione BLOB un vettore versatile per un’ampia gamma di attacchi.
Decostruire la catena di attacchi cloud
Il percorso dall’indagine iniziale alla grave violazione dei dati segue uno schema ben definito, che Microsoft ha mappato per aiutare i difensori a comprendere i loro avversari. L’attacco non è un singolo evento ma un processo in più fasi che inizia molto prima che i dati vengano rubati.
Gli aggressori spesso iniziano con un’ampia ricognizione, utilizzando strumenti automatizzati per cercare account di archiviazione con endpoint accessibili pubblicamente o nomi prevedibili. Possono anche utilizzare modelli linguistici per generare nomi di contenitori plausibili per un’azione di forzatura bruta più efficace.
Una volta identificato un potenziale obiettivo, esplorano i punti deboli comuni, come le chiavi dell’account di archiviazione esposte o i condivisi firma di accesso (SAS) token scoperti nei repository di codice pubblico.
Dopo aver ottenuto l’accesso iniziale, l’attenzione si sposta sulla creazione della persistenza. Un utente malintenzionato potrebbe creare nuovi ruoli con privilegi elevati, generare token SAS di lunga durata che funzionano come backdoor o persino manipolare i criteri di accesso a livello di contenitore per consentire l’accesso anonimo.
Da lì, può spostarsi lateralmente, attivando potenzialmente servizi downstream come Funzioni di Azure o App per la logica per aumentare ulteriormente i propri privilegi. Le fasi finali possono comportare il danneggiamento, l’eliminazione o l’esfiltrazione su larga scala dei dati, spesso utilizzando strumenti nativi di Azure affidabili come AzCopy per unire entrare nel traffico di rete legittimo ed eludere il rilevamento.
Le conseguenze nel mondo reale di tali errate configurazioni possono essere devastanti. In un notevole incidente passato, una società di software di reclutamento ha inavvertitamente esposto quasi 26 milioni di file contenenti curriculum quando ha lasciato un contenitore di archiviazione BLOB di Azure protetto in modo improprio, un incidente di alto profilo che mette in evidenza il rischi.
Questo tipo di violazione dimostra l’importanza cruciale del livello di sicurezza che Microsoft sta attualmente sostenendo.
Microsoft’s Blueprint for Defense: Tools and Best Practices
Per contrastare queste crescenti minacce, l’azienda ha enfatizzato una strategia di difesa a più livelli incentrata sul monitoraggio proattivo e sul rispetto delle norme di sicurezza fondamentali.
Un componente chiave di questa strategia è Microsoft Defender for Storage, una soluzione nativa del cloud progettata per fornire un ulteriore livello di intelligence sulla sicurezza.
Secondo Microsoft,”Defender for Storage fornisce un ulteriore livello di intelligence sulla sicurezza che rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione.”
Defender for Storage offre più livelli di protezione, incluso il malware. scansione che può essere configurata in due modalità principali, secondo la documentazione ufficiale.
La scansione al caricamento fornisce un’analisi quasi in tempo reale di file nuovi o modificati, controllandoli automaticamente per rilevare eventuali minacce entrano nel sistema.
Per una sicurezza più profonda e proattiva, la scansione su richiesta consente agli amministratori di scansionare i dati esistenti, che è fondamentale per la risposta agli incidenti e la protezione delle pipeline di dati. Quando
viene rilevato un malware, è possibile attivare una riparazione automatizzata per mettere in quarantena o eliminare temporaneamente il blob dannoso, bloccando l’accesso e mitigando la minaccia.
Oltre a distribuire strumenti specifici, l’azienda ha delineato diverse best practice essenziali per tutti i clienti aziendali. Innanzitutto, le organizzazioni devono applicare rigorosamente il principio del privilegio minimo utilizzando il controllo degli accessi basato sui ruoli (RBAC) di Azure.
Ciò garantisce che, se un account viene compromesso, la capacità dell’aggressore di causare danni è gravemente limitata. Concedere solo le autorizzazioni necessarie a utenti e servizi è un passo fondamentale per ridurre la superficie di attacco.
In secondo luogo, gli amministratori dovrebbero evitare di utilizzare token SAS senza restrizioni e di lunga durata. Questi token possono fornire una backdoor permanente in caso di compromissione, aggirando altri controlli basati sull’identità.
Implementare registrazioni e audit completi è fondamentale anche per rilevare e rispondere rapidamente agli incidenti.
Infine, Microsoft consiglia vivamente di limitare l’accesso alla rete pubblica agli account di archiviazione quando possibile e di applicare requisiti di trasferimento sicuro per proteggere i dati in transito.
Rafforzando questi controlli fondamentali. e mantenendo una vigilanza costante, le organizzazioni possono ridurre significativamente i rischi e proteggere meglio i propri dati cloud critici dalla compromissione.
