Amerykańska CISA stworzyła darmowe narzędzie do analizy zdarzeń w Microsoft Azure

„Untitled Goose to porządne i elastyczne narzędzie do wyszukiwania i reagowania na incydenty, które dodaje nowatorskie metody uwierzytelniania i gromadzenia danych w celu przeprowadzenia pełnego dochodzenia w środowiskach Azure Active Directory, Azure i M365 klienta” — napisała CISA w oficjalnym komunikacie.

Osoby z Blue Team będą musiały wykorzystać Python 3.7, 3.8 lub 3.9, aby uruchomić narzędzie, a CISA zaleca używanie Goose w środowisku wirtualnym.

Wydanie następuje po ujawnieniu kilku luk w zabezpieczeniach niektórych usług Azure, w tym powszechnej luki w środowiskach chmurowych, która może umożliwić fałszerstwo żądań po stronie serwera (SSRF). Ujawniony w styczniu exploit mógł zostać wykonany nawet bez konta Azure i został uznany za krytyczny.

„Ścieżki ataku na tożsamość, w których osoba atakująca nadużywa poświadczeń i uprawnień użytkownika, aby przenieść się w bok lub eskalować dostępy, aż do osiągnięcia celu, stanowią istotny problem w wielu wdrożeniach platformy Azure” — wyjaśnił Andy Robbins, główny architekt produktu w firmie SpecterOps.

Takie problemy znamy z Active Directory on-premises i wiemy, że mogą umożliwić atakującemu eksfiltrację danych lub uruchomienie złośliwego oprogramowania.  Jednocześnie te metody ataku są trudne do wykrycia i powstrzymania, ponieważ opierają się na nadużyciu legalnych funkcji i poświadczeń.

Co więcej, „ścieżki ataków platformy Azure są trudniejsze do zabezpieczenia i zarządzania niż ścieżki ataków lokalnych, ponieważ tożsamości na platformie Azure są znacznie bardziej skomplikowane” — dodał Robbins. Połączenia w usłudze Active Directory są często słabo rozumiane i dają atakującym wiele możliwości.

Narzędzie Untitled Goose Tool może wykrywać przypadki wykorzystania luk w zabezpieczeniach, złą konfigurację uprawnień oraz wspierać środki zaradcze.

Ponadto narzędzie jest w stanie wyodrębniać artefakty chmury z powiązanych usług bez konieczności wykonywania dodatkowych analiz, wyodrębniać dane w określonych ramach czasowych oraz zbierać i przeglądać dane powiązane z możliwościami ograniczania czasu.

CISA wzywa obrońców sieci chmurowych do przejrzenia arkusza informacyjnego Untitled Goose Tool przed rozpoczęciem korzystania z repozytorium GitHub w celu zrozumienia jego funkcji. Szczegółowe informacje obejmują wymagania dotyczące uprawnień, aby upewnić się, że narzędzie ma dostęp tylko do odczytu, oraz precyzyjne środki efektywnego korzystania z narzędzia. Istnieje również ważna sekcja dotycząca znanych problemów, która pomaga w ich rozwiązywaniu.

Narzędzie umożliwia użytkownikom:

• Eksportowanie i przeglądanie dzienników logowania i inspekcji usługi AAD, dzienników inspekcji M365 (UAL), dzienników aktywności platformy Azure, alertów usługi Microsoft Defender for IoT oraz danych usługi Microsoft Defender for Endpoint (MDE) pod kątem podejrzanej aktywności.
• Wykonywanie zapytań, eksportowanie i badanie konfiguracji AAD, M365 i Azure.
• Wyodrębnianie artefaktów ze środowisk Microsoft AAD, Azure i M365 bez wykonywania dodatkowych analiz.
• Wykonywanie ograniczenia czasowego UAL.
• Wyodrębnianie danych w tych właśnie ograniczeniach czasowych.

Zbieranie i przeglądanie danych, korzystając z podobnych możliwości ograniczania czasu dla danych MDE.