Un malware si è insidiato nel server Azure

 

Buongiorno cari lettori, oggi parleremo delle attività sospette che sono successenel server di microsoft Azure.

Il nuovo strumento gratuito chiamato Sparrow.ps1 è destinato all'uso da parte dei soccorritori.

Microsoft Azure, proprio come qualsiasi strumento cloud, è vulnerabile per il semplice fatto che è online. Inoltre, dal momento che è utilizzato da molte aziende di alto profilo e da agenzie governative, la sua vulnerabilità rappresenta una grande minaccia per i dati e le altre risorse di tali organizzazioni.

Tenendo questo in mente, proprio di recente, la Cybersecurity and Infrastructure Security Agency (CISA) di Homeland Security ha rilasciato un nuovo strumento su Github che può aiutare gli amministratori di rete a proteggere i loro dati su Microsoft 365 e Azure.

Per quanto riguarda il caso d'uso dello strumento, esso analizza in modo specifico quelle attività che sono spesso prese di mira dagli aggressori negli attacchi basati sull'autenticazione. Queste potrebbero essere generate sia dall'utente sia dall'applicazione, rendendo più facile sapere quando un account o un'applicazione specifica è stato compromesso e quindi consentire alla vittima di adottare misure di mitigazione in tempo utile.

Commentando i tecnicismi, la pagina ufficiale di Github ha dichiarato,

Sparrow.ps1 controllerà e installerà i moduli PowerShell richiesti sulla macchina di analisi, controllerà il log di audit unificato in Azure/M365 per alcuni indicatori di compromesso (IoC), elencherà i domini AD Azure, e controllerà i principi del servizio Azure e le loro autorizzazioni API Microsoft Graph per identificare potenziali attività dannose. Lo strumento emette quindi i dati in più file CSV in una directory predefinita.

D'altra parte, è anche importante capire che lo strumento non è un vero e proprio sistema di sicurezza e quindi non dovrebbe essere utilizzato come "sostituto dei sistemi di rilevamento delle intrusioni". Il ragionamento alla base di ciò è che il suo scopo principale è quello di coprire soltanto quei tipi di attacchi che si sono visti recentemente accadere a "fonti e applicazioni di identità federate" piuttosto che a tutti i settori in generale.

Lo strumento Sparrow.ps1 del CISA rileva attività dannose su Azure, Microsoft 365

Per coloro che possono essere interessati all'utilizzo dello strumento, richiede alcune autorizzazioni che sono state dettagliate nella sua pagina Github insieme alla presenza di 3 moduli Powershell specifici. Una volta che questi sono presenti, non è necessaria alcuna procedura di installazione aggiuntiva e si dovrebbe essere pronti per l'uso.

In conclusione, si tratta di un buon contributo alla sicurezza informatica, in particolare da parte del settore pubblico, e rappresenta un passo che potrebbe essere seguito anche da altre agenzie governative in tutto il mondo. Per il futuro, c'è ancora molta strada da fare per rendere completamente sicuri gli ambienti cloud.

spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.