Microsoft varnar för eskalerande attacker på Azure Blob Storage, uppmanar till skärpt säkerhet

Published by All Things Windows on

Microsoft varnar företagskunder för en eskalerande våg av cyberattacker som riktar sig mot dess Azure Blob Storage-tjänst.

I en detaljerad rådgivning som publicerades den 20 oktober, beskrev företagets Threat Intelligence-team hur hotaktörer aktivt utnyttjar vanliga felkonfigurationer, svaga uppgifter om åtkomst till företagsdata och dåliga behörighetskontroller för

. alert beskriver en sofistikerad attackkedja, från initial spaning till fullskalig dataexfiltrering och destruktion. Med hänvisning till den avgörande roll Blob Storage spelar för att hantera enorma dataarbetsbelastningar för AI och analys, uppmanar Microsoft administratörer att implementera starkare säkerhetsprotokoll för att minska den växande risken.

Ett högvärdigt mål som är mogen för exploatering

Azure Blob Storage har blivit en hörnsten i använd modern infrastruktur av organisationer för att hantera enorma volymer av ostrukturerad data.

Dess flexibilitet gör den oumbärlig för en rad kritiska funktioner, inklusive lagring av AI-träningsmodeller, stöd för högpresterande datoranvändning (HPC), köra storskalig analys, hosta media och hantera företagssäkerhetskopieringar.

Tyvärr gör denna centrala roll även att inrikta sig på den här centrala rollen. hög inverkan data.

Microsofts Threat Intelligence-team förklarade det strategiska värdet av denna tjänst för angripare.”Blob Storage, precis som alla objektdatatjänster, är ett värdefullt mål för hotaktörer på grund av dess avgörande roll i att lagra och hantera enorma mängder ostrukturerad data i stor skala över olika arbetsbelastningar.”

Teamet noterade vidare att hotaktörer inte bara är opportunistiska utan systematiskt söker efter sårbara miljöer. De försöker kompromissa med system som antingen är värd för nedladdningsbart innehåll eller fungerar som storskaliga datalager, vilket gör Blob Storage till en mångsidig vektor för ett brett spektrum av attacker.

Dekonstruera molnattackkedjan

Vägen från initial undersökning till större dataintrång följer ett väldefinierat mönster, som Microsofts försvarare har kartlagt för att hjälpa dem att hjälpa dem. Attacken är inte en enskild händelse utan en process i flera steg som börjar långt innan någon data stjäls.

Angripare börjar ofta med bred spaning och använder automatiska verktyg för att söka efter lagringskonton med offentligt tillgängliga slutpunkter eller förutsägbara namn. De kan också använda språkmodeller för att generera rimliga behållarnamn för mer effektiv brute-forcing.

När ett potentiellt mål har identifierats söker de efter vanliga svagheter, såsom exponerade lagringskontonycklar eller starget_blank”signatur (SAS)-tokens upptäckts i offentliga kodförråd.

Efter att ha fått första åtkomst skiftar fokus till att etablera persistens. En angripare kan skapa nya roller med förhöjda privilegier, generera långlivade SAS-tokens som fungerar som bakdörrar eller till och med manipulera åtkomstpolicyer på containernivå för att tillåta anonym åtkomst.

Därifrån kan de flytta i sidled, vilket potentiellt kan utlösa nedströmstjänster som Azure Functions eller Logic Apps för att eskalera sina privilegier ytterligare. De sista stegen kan involvera datakorruption, radering eller storskalig exfiltrering, ofta med hjälp av pålitliga Azure-native-verktyg som AzCopy för att blanda in ett legitimt nätverk trafik och undvika upptäckt.

De verkliga konsekvenserna av sådana felkonfigurationer kan vara förödande. I en anmärkningsvärd tidigare incident, avslöjade ett rekryterande mjukvaruföretag av misstag nästan 26 miljoner filer som innehåller meritförteckningar när det lämnade en Azure Blob Storage-behållare felaktigt säkrad,

Den här typen av intrång visar den avgörande betydelsen av den säkerhetsställning som Microsoft nu förespråkar för.

Microsofts Blueprint for Defense: Tools and Best Practices

För att motverka dessa eskalerande hot betonade företaget en flerskikts försvarsstrategi centrerad på proaktiv övervakning och grundläggande säkerhetskomponenter

.

strategi är Microsoft Defender for Storage, en molnbaserad lösning utformad för att tillhandahålla ett extra lager av säkerhetsintelligens.

Enligt Microsoft tillhandahåller”Defender for Storage ett extra lager av säkerhetsintelligens som upptäcker ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton.”

Defender for Storage kan konfigureras i två lager av skydd, inklusive skadlig kod, kan konfigureras i två lager av skydd. enligt officiell dokumentation.

Skanning vid uppladdning ger nästan realtidsanalys av nya eller modifierade filer, och kontrollerar dem automatiskt efter hot när de kommer in i systemet.

proaktiv säkerhet, on-demand-skanning tillåter administratörer att skanna befintliga data, vilket är avgörande för incidentrespons och säkra datapipelines. N

när skadlig programvara upptäcks kan automatiserad åtgärd utlösas för att karantänera eller mjukradera den skadliga klumpen, vilket blockerar åtkomst och minskar hotet.

Förutom att implementera specifika verktyg har företaget beskrivit flera viktiga bästa praxis för alla företagskunder. För det första måste organisationer strikt tillämpa principen om minsta privilegium med hjälp av Azures rollbaserade åtkomstkontroll (RBAC).

Detta säkerställer att om ett konto äventyras är angriparens förmåga att orsaka skada kraftigt begränsad. Att bara bevilja de nödvändiga behörigheterna till användare och tjänster är ett grundläggande steg för att minska attackytan.

För det andra bör administratörer undvika att använda obegränsade, långlivade SAS-tokens. Dessa tokens kan ge en permanent bakdörr om de äventyras och kringgår andra identitetsbaserade kontroller.

Implementering av omfattande loggning och granskning är också avgörande för att snabbt upptäcka och reagera på incidenter.

Slutligen rekommenderar Microsoft starkt att begränsa offentliga nätverksåtkomst till lagringskonton när det är möjligt och upprätthålla säker dataöverföringskrav

.

skärpa dessa grundläggande kontrollerar och upprätthåller konstant vaksamhet, kan organisationer avsevärt minska sina risker och bättre skydda sina kritiska molndata från kompromisser.

Categories: IT Info

Related Posts

IT Info

Så här tvingar du en lagringspolicy att tillämpas omedelbart i Microsoft 365 Exchange Online.

Om du vill tvinga Exchange Online att omedelbart tillämpa en lagringspolicy som du skapat (t.ex. för att tvinga onlinearkivering att börja arkivera), fortsätt sedan att läsa den här handledningen. Av

IT Info

Anthropic utökar Claudes beständiga minne till alla betalda användare, lägger till import/exportfunktion

Anthropic utökar Claudes ihållande minne till alla betalda Pro-och Max-användare. Uppdateringen innehåller en ny import/exportfunktion för att konkurrera med ChatGPT och Gemini. Inlägget Anthropic Expan

IT Info

OpenAI förvärvar Mac AI-gränssnittet”Sky”för att stärka ChatGPT på skrivbordet

OpenAI har förvärvat Software Applications Inc., tillverkare av det Mac-native AI-gränssnittet Sky, för att integrera sitt team och teknik direkt i ChatGPT. Inlägget OpenAI förvärvar Mac AI I