Microsoft advierte a CrowdStrike sobre los piratas informáticos que se dirigen a los clientes de Azure Cloud

hackeo de microsoft azure

Nueva evidencia en medio de la investigación en curso sobre la campaña de espionaje dirigida a SolarWinds ha descubierto un intento fallido de comprometer a la empresa de ciberseguridad Crowdstrike y acceder al correo electrónico de la empresa.

El esfuerzo de piratería fue informado a la empresa por el Threat Intelligence Center de Microsoft el 15 de diciembre, que identificó que la cuenta de Microsoft Azure de un revendedor externo estaba haciendo «llamadas anormales» a las API de la nube de Microsoft durante un período de 17 horas hace varios meses.

La cuenta de Azure del revendedor afectado no revelado maneja las licencias de Microsoft Office para sus clientes de Azure, incluido CrowdStrike.

Aunque hubo un intento por parte de actores de amenazas no identificados de leer los correos electrónicos, finalmente se frustró porque la empresa no usa el servicio de correo electrónico Office 365 de Microsoft, dijo CrowdStrike.

El incidente se produce a raíz del ataque a la cadena de suministro de SolarWinds revelado a principios de este mes, que resultó en el despliegue de una puerta trasera encubierta (también conocida como «Sunburst») a través de actualizaciones maliciosas de un software de monitoreo de red llamado SolarWinds Orion.

Desde la divulgación, Microsoft, Cisco, VMware, Intel, NVIDIA y varias agencias gubernamentales de EE. UU. han confirmado haber encontrado instalaciones contaminadas de Orion en sus entornos.

El desarrollo se produce una semana después de que el fabricante de Windows, un cliente de SolarWinds, negara que los piratas informáticos se hubieran infiltrado en sus sistemas de producción para realizar más ataques contra sus usuarios y encontrara evidencia de un grupo de piratería independiente que abusaba del software Orion para instalar una puerta trasera separada llamada «Supernova».

También coincide con un nuevo informe de The Washington Post de hoy, que alega que piratas informáticos del gobierno ruso violaron a los clientes de la nube de Microsoft y robaron correos electrónicos de al menos una empresa del sector privado aprovechándose de un revendedor de Microsoft que administra los servicios de acceso a la nube.

«Nuestra investigación de ataques recientes encontró incidentes relacionados con el abuso de credenciales para obtener acceso, que pueden presentarse de varias formas. No hemos identificado ninguna vulnerabilidad o compromiso de los productos o servicios en la nube de Microsoft», dijo el director senior de Microsoft, Jeff Jones, en una respuesta por correo electrónico. a las noticias del hacker.

CrowdStrike también lanzó CrowdStrike Reporting Tool for Azure (CRT), una herramienta gratuita que tiene como objetivo ayudar a las organizaciones a revisar los permisos excesivos en sus entornos de Azure Active Directory u Office 365 y ayudar a determinar las debilidades de configuración.

Además, la Agencia de Seguridad e Infraestructura de Ciberseguridad de EE. UU. (CISA) ha creado por separado una utilidad de código abierto similar llamada Sparrow para ayudar a detectar posibles cuentas y aplicaciones comprometidas en entornos Azure u Office 365.

«La herramienta está diseñada para que la utilicen los respondedores de incidentes y se enfoca estrechamente en la actividad que es endémica de los recientes ataques basados ​​en identidad y autenticación vistos en múltiples sectores», dijo CISA.

Por su parte, SolarWinds ha actualizado su aviso de seguridad, instando a los clientes a actualizar el software de la plataforma Orion a la versión 2020.2.1 HF 2 o 2019.4 HF 6 para mitigar los riesgos asociados con las vulnerabilidades Sunburst y Supernova.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática