Microsoft waarschuwt zakelijke klanten voor een escalerende golf van cyberaanvallen gericht op de Azure Blob Storage-service.
In een gedetailleerd advies dat op 20 oktober werd gepubliceerd, schetste het Threat Intelligence-team van het bedrijf hoe bedreigingsactoren actief misbruik maken van algemene misconfiguraties, zwakke inloggegevens en slechte toegangscontroles om gevoelige bedrijfsgegevens te stelen.
De alert beschrijft een geavanceerde aanvalsketen, van initiële verkenning tot volledige data-exfiltratie en vernietiging. Onder verwijzing naar de cruciale rol die Blob Storage speelt bij het beheren van enorme dataworkloads voor AI en analyses, dringt Microsoft er bij beheerders op aan om sterkere beveiligingsprotocollen te implementeren om het groeiende risico te beperken.
Een hoogwaardig doel rijp voor exploitatie
Azure Blob Storage is een hoeksteen geworden van de moderne cloudinfrastructuur, die wordt gebruikt door organisaties om enorme hoeveelheden ongestructureerde gegevens te verwerken.
De flexibiliteit maakt het onmisbaar voor een reeks kritieke functies, waaronder het opslaan van AI-trainingsmodellen, het ondersteunen van high-performance computing (HPC), het uitvoeren van grootschalige analyses, het hosten van media en het beheren van bedrijfsback-ups.
Helaas maakt deze centrale rol het ook tot een belangrijk doelwit voor cybercriminelen die op zoek zijn naar data met hoge impact.
Het Threat Intelligence-team van Microsoft legde de strategische waarde van deze service aan aanvallers uit. “Blob Storage is, net als elke andere objectdataservice, een waardevol doelwit voor bedreigingsactoren vanwege de cruciale rol ervan bij het opslaan en beheren van enorme hoeveelheden ongestructureerde gegevens op schaal over verschillende werklasten.”
Het team merkte verder op dat bedreigingsactoren niet alleen opportunistisch zijn, maar systematisch op zoek zijn naar kwetsbare omgevingen. Ze proberen systemen te compromitteren die downloadbare content hosten of dienen als grootschalige gegevensopslagplaatsen, waardoor Blob Storage een veelzijdige vector wordt voor een breed scala aan aanvallen.
De Cloud Attack Chain deconstrueren
Het pad van het initiële onderzoek naar een groot datalek volgt een duidelijk gedefinieerd patroon, dat Microsoft in kaart heeft gebracht om verdedigers te helpen hun tegenstanders te begrijpen. De aanval is geen eenmalige gebeurtenis, maar een proces dat uit meerdere fasen bestaat en begint lang voordat er gegevens worden gestolen.
Aanvallers beginnen vaak met een brede verkenning, waarbij ze geautomatiseerde tools gebruiken om te scannen op opslagaccounts met openbaar toegankelijke eindpunten of voorspelbare namen. Ze kunnen ook taalmodellen gebruiken om plausibele containernamen te genereren voor effectievere brute-forcering.
Zodra een potentieel doelwit is geïdentificeerd, zoeken ze naar veelvoorkomende zwakke punten, zoals blootgestelde opslagaccountsleutels of shared access signature (SAS) tokens ontdekt in openbare codeopslagplaatsen.
Na het verkrijgen van initiële toegang verschuift de focus naar het tot stand brengen van persistentie. Een aanvaller kan nieuwe rollen creëren met verhoogde rechten, SAS-tokens met een lange levensduur genereren die als achterdeuren functioneren, of zelfs het toegangsbeleid op containerniveau manipuleren om anonieme toegang mogelijk te maken.
Van daaruit kunnen ze lateraal bewegen, waardoor mogelijk downstream-services zoals Azure Functions of Logic Apps worden geactiveerd om hun bevoegdheden verder te escaleren. In de laatste fasen kan sprake zijn van gegevensbeschadiging, verwijdering of grootschalige exfiltratie, waarbij vaak gebruik wordt gemaakt van vertrouwde Azure-native tools zoals AzCopy om te combineren in het legitieme netwerkverkeer terechtkomen en detectie ontwijken.
De gevolgen van dergelijke verkeerde configuraties in de echte wereld kunnen verwoestend zijn. Bij een opmerkelijk incident uit het verleden heeft een rekruteringssoftwarebedrijf onbedoeld bijna 26 miljoen bestanden met cv’s openbaar gemaakt toen het een Azure Blob Storage-container onjuist beveiligd achterliet. risico’s.
Dit type inbreuk toont het cruciale belang aan van de beveiligingshouding waar Microsoft nu voor pleit.
Microsoft’s Blauwdruk voor Defensie: Tools en Best Practices
Om deze escalerende bedreigingen tegen te gaan, legde het bedrijf de nadruk op een meerlaagse verdedigingsstrategie, gericht op proactieve monitoring en naleving van de beveiligingsregels. basisprincipes.
Een belangrijk onderdeel van deze strategie is Microsoft Defender for Storage, een cloud-native oplossing die is ontworpen om een extra laag beveiligingsinformatie te bieden.
Volgens Microsoft “biedt Defender for Storage een extra laag beveiligingsinformatie die ongebruikelijke en potentieel schadelijke pogingen detecteert om toegang te krijgen tot of misbruik te maken van opslagaccounts.”
Defender for Storage biedt meerdere beschermingslagen, waaronder malware scannen dat kan worden geconfigureerd in twee primaire modi, volgens officiële documentatie.
Scannen tijdens het uploaden biedt vrijwel realtime analyse van nieuwe of gewijzigde bestanden, waarbij ze automatisch worden gecontroleerd op bedreigingen zodra ze het systeem binnenkomen.
Voor een diepere, proactieve beveiliging kunnen beheerders met on-demand scannen bestaande gegevens scannen, wat cruciaal is voor de respons op incidenten en het beveiligen van gegevenspijplijnen. Wanneer malware wordt gedetecteerd, kan geautomatiseerd herstel worden geactiveerd om de kwaadaardige blob in quarantaine te plaatsen of voorzichtig te verwijderen, waardoor de toegang wordt geblokkeerd en de dreiging wordt beperkt.
Naast het inzetten van specifieke tools, schetste het bedrijf een aantal essentiële best practices voor alle zakelijke klanten. Ten eerste moeten organisaties het principe van de minste privileges rigoureus afdwingen met behulp van Azure’s op rollen gebaseerde toegangscontrole (RBAC).
Dit zorgt ervoor dat als een account wordt gecompromitteerd, het vermogen van de aanvaller om schade te veroorzaken ernstig wordt beperkt. Het verlenen van alleen de noodzakelijke machtigingen aan gebruikers en services is een fundamentele stap in het verkleinen van het aanvalsoppervlak.
Ten tweede moeten beheerders het gebruik van onbeperkte SAS-tokens met een lange levensduur vermijden. Deze tokens kunnen een permanente achterdeur bieden als ze worden gecompromitteerd, waardoor andere op identiteit gebaseerde controles worden omzeild.
Het implementeren van uitgebreide logboekregistratie en audits is ook van cruciaal belang voor het snel detecteren van en reageren op incidenten.
Tenslotte adviseert Microsoft met klem om de openbare netwerktoegang tot opslagaccounts waar mogelijk te beperken en vereisten voor veilige overdracht af te dwingen om gegevens tijdens de overdracht te beschermen.
Door deze fundamentele voorwaarden aan te scherpen controles en door constante waakzaamheid te handhaven, kunnen organisaties hun risico’s aanzienlijk verminderen en hun kritieke cloudgegevens beter beschermen tegen compromissen.
