Microsoft avverte i clienti aziendali di un'ondata crescente di attacchi informatici contro il suo servizio di archiviazione BLOB di Azure.
In un avviso dettagliato pubblicato il 20 ottobre, il team di Threat Intelligence dell’azienda ha sottolineato come gli autori delle minacce stiano sfruttando attivamente errori di configurazione comuni, credenziali deboli e scarsi controlli di accesso per rubare dati aziendali sensibili.
ILavvisodescrive in dettaglio una sofisticata catena di attacco, dalla ricognizione iniziale all'esfiltrazione e distruzione dei dati su vasta scala. Citando il ruolo fondamentale svolto dall’archiviazione BLOB nella gestione di enormi carichi di lavoro di dati per l’intelligenza artificiale e l’analisi, Microsoft esorta gli amministratori a implementare protocolli di sicurezza più forti per mitigare il crescente rischio.
Un obiettivo di alto valore pronto per lo sfruttamento
L'archiviazione BLOB di Azure è diventata una pietra miliare della moderna infrastruttura cloud, utilizzata dalle organizzazioni per gestire immensi volumi di dati non strutturati.
La sua flessibilità lo rende indispensabile per una serie di funzioni critiche, tra cui l'archiviazione di modelli di formazione AI, il supporto dell'elaborazione ad alte prestazioni (HPC), l'esecuzione di analisi su larga scala, l'hosting di supporti e la gestione dei backup aziendali.
Sfortunatamente, questo ruolo centrale lo rende anche un obiettivo primario per i criminali informatici alla ricerca di dati ad alto impatto.
Il team Threat Intelligence di Microsoft ha spiegato agli aggressori il valore strategico di questo servizio. "L'archiviazione BLOB, come qualsiasi servizio dati a oggetti, è un obiettivo di grande valore per gli autori delle minacce grazie al suo ruolo fondamentale nell'archiviazione e nella gestione di enormi quantità di dati non strutturati su larga scala attraverso diversi carichi di lavoro."
Il team ha inoltre osservato che gli autori delle minacce non sono solo opportunisti, ma cercano sistematicamente ambienti vulnerabili. Stanno cercando di compromettere i sistemi che ospitano contenuti scaricabili o fungono da repository di dati su larga scala, rendendo l'archiviazione BLOB un vettore versatile per un'ampia gamma di attacchi.
Altre letture:Microsoft lancia l'aggiornamento stabile Edge 139 con impostazioni rinnovate e sicurezza più rigorosa
Decostruire la catena di attacchi cloud
Il percorso dall’indagine iniziale alla grave violazione dei dati segue uno schema ben definito, che Microsoft ha mappato per aiutare i difensori a comprendere i loro avversari. L’attacco non è un singolo evento ma un processo in più fasi che inizia molto prima che i dati vengano rubati.
Gli aggressori spesso iniziano con un'ampia ricognizione, utilizzando strumenti automatizzati per cercare account di archiviazione con endpoint accessibili pubblicamente o nomi prevedibili. Possono anche utilizzare modelli linguistici per generare nomi di contenitori plausibili per una forzatura bruta più efficace.
Una volta identificato un potenziale obiettivo, vengono analizzati i punti deboli comuni, come le chiavi o i messaggi di posta elettronica esposti dell'account di archiviazionefirma di accesso condiviso (SAS)token scoperti nei repository di codice pubblico.
Dopo aver ottenuto l'accesso iniziale, l'attenzione si sposta sulla creazione della persistenza. Un utente malintenzionato potrebbe creare nuovi ruoli con privilegi elevati, generare token SAS di lunga durata che funzionano come backdoor o persino manipolare le policy di accesso a livello di contenitore per consentire l'accesso anonimo.
Da lì, possono spostarsi lateralmente, attivando potenzialmente servizi downstream come Funzioni di Azure o App per la logica per aumentare ulteriormente i propri privilegi. Le fasi finali possono comportare il danneggiamento, l'eliminazione o l'esfiltrazione su larga scala dei dati, spesso utilizzando strumenti nativi di Azure affidabili comeAzCopyper confondersi con il traffico di rete legittimo ed eludere il rilevamento.
Le conseguenze nel mondo reale di tali errate configurazioni possono essere devastanti. In un notevole incidente passato, una società di software di reclutamento ha inavvertitamente esposto quasi 26 milioni di file contenenti curriculum quando ha lasciato un contenitore di archiviazione BLOB di Azure protetto in modo improprio.un incidente di alto profilo che evidenzia i rischi.
Questo tipo di violazione dimostra l’importanza fondamentale del livello di sicurezza che Microsoft sta ora sostenendo.
Il progetto Microsoft per la difesa: strumenti e best practice
Per contrastare queste crescenti minacce, l’azienda ha enfatizzato una strategia di difesa a più livelli incentrata sul monitoraggio proattivo e sul rispetto dei fondamentali della sicurezza.
Un componente chiave di questa strategia è Microsoft Defender for Storage, una soluzione nativa del cloud progettata per fornire un ulteriore livello di intelligence sulla sicurezza.
Secondo Microsoft, "Defender for Storage fornisce un ulteriore livello di intelligence sulla sicurezza che rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione".
Defender for Storage offre più livelli di protezione, inclusa la scansione del malware che può essere configurata in due modalità principali,secondo la documentazione ufficiale.
La scansione durante il caricamento fornisce un'analisi quasi in tempo reale dei file nuovi o modificati, controllando automaticamente la presenza di minacce non appena entrano nel sistema.
Per una sicurezza più profonda e proattiva, la scansione su richiesta consente agli amministratori di scansionare i dati esistenti, il che è fondamentale per la risposta agli incidenti e la protezione delle pipeline di dati. W
Quando viene rilevato un malware, è possibile attivare la riparazione automatizzata per mettere in quarantena o eliminare temporaneamente il blob dannoso, bloccando l'accesso e mitigando la minaccia.
Oltre all'implementazione di strumenti specifici, l'azienda ha delineato diverse best practice essenziali per tutti i clienti aziendali. Innanzitutto, le organizzazioni devono applicare rigorosamente il principio del privilegio minimo utilizzando il controllo degli accessi basato sui ruoli (RBAC) di Azure.
Ciò garantisce che, se un account viene compromesso, la capacità dell’aggressore di causare danni sarà fortemente limitata. Concedere solo le autorizzazioni necessarie a utenti e servizi è un passaggio fondamentale per ridurre la superficie di attacco.
In secondo luogo, gli amministratori dovrebbero evitare di utilizzare token SAS senza restrizioni e di lunga durata. Questi token possono fornire una backdoor permanente in caso di compromissione, aggirando altri controlli basati sull'identità.
L’implementazione di registrazioni e controlli completi è fondamentale anche per rilevare e rispondere rapidamente agli incidenti.
Infine, Microsoft consiglia vivamente di limitare l’accesso alla rete pubblica agli account di archiviazione quando possibile e di applicare requisiti di trasferimento sicuro per proteggere i dati in transito.
Rafforzando questi controlli fondamentali e mantenendo una vigilanza costante, le organizzazioni possono ridurre significativamente i rischi e proteggere meglio i propri dati cloud critici dalla compromissione.
![[Windows 10 Explorer Fix] Windows non può trovare, assicurati di digitare il nome correttamente, quindi riprova](https://media.askvg.com/articles/images6/Windows_Cannot_Find_Explorer_EXE_Error_Message.png)
