Microsoft veröffentlicht Playbook zur Erkennung von Token-Diebstahl in Azure-Cloud
Nachdem kürzlich bekannt wurde, dass ein Hackerangriff aus China auf Exchange-Online-Accounts von Regierungsbehörden mithilfe gefälschter Zugangs-Tokens für die Azure-Cloud stattgefunden hat, hat Microsoft reagiert. Das Unternehmen hat ein hilfreiches Playbook veröffentlicht, das Azure-Nutzern dabei hilft, festzustellen, ob ihre Organisation von einem Token-Diebstahl betroffen ist. Das Playbook beschreibt detailliert, wie man ungewöhnliche Aktivitäten in den Azure-Diensten erkennen und mögliche Kompromittierungen eindämmen kann.
Das Playbook für die Azure-Sicherheit:
Das von Microsoft veröffentlichte Playbook bietet eine deutschsprachige Anleitung zum Umgang mit dem Verdacht auf Diebstahl eines Zugangs-Tokens für die Azure-Cloud. Es zeigt Azure-Nutzern, wie sie ihre Microsoft Sentinel oder ein anderes SIEM-Tool so konfigurieren können, dass alle relevanten Ereignisse und Protokolleinträge zusammenlaufen. Durch diese Konfiguration können ungewöhnliche Aktivitäten in den Bereichen Identitäten, Anmelde- und Überwachungsprotokolle, Office-Apps und Endgeräte erkannt werden.
Das Playbook enthält zahlreiche Hinweise, wie man eine Kompromittierung erkennt und gegebenenfalls eindämmt. Zudem werden Maßnahmen zur Wiederherstellung eines sicheren Zustands beschrieben. Eine schematische Darstellung des Vorgehens begleitet das Playbook und bietet eine visuelle Orientierungshilfe.
Hintergrund des Playbooks:
Die Veröffentlichung des Playbooks erfolgte als Reaktion auf den kürzlichen Hackerangriff aus China, bei dem gefälschte Zugangs-Tokens für die Azure-Cloud verwendet wurden, um auf Exchange-Online-Accounts von Regierungsbehörden zuzugreifen. Dieser Angriff offenbarte, dass die Angreifer einen mächtigen Masterkey gestohlen hatten, der potenziell Zugriff auf große Teile der Microsoft-Cloud gewährte und somit auch andere Organisationen und Dienste in Azure gefährdete. Das genaue Ausmaß des Angriffs ist bislang noch unklar, da Microsoft nur wenige Informationen dazu preisgegeben hat.
Fazit:
Mit der Veröffentlichung des Playbooks gibt Microsoft seinen Azure-Nutzern ein nützliches Werkzeug an die Hand, um mögliche Token-Diebstähle in der Cloud zu erkennen und angemessen darauf zu reagieren. Die klare Anleitung und die Hinweise zur Identifizierung von ungewöhnlichen Aktivitäten tragen dazu bei, die Sicherheit und Integrität der Azure-Dienste zu gewährleisten. Azure-Nutzer können somit besser auf mögliche Sicherheitsbedrohungen reagieren und ihre Daten vor unbefugtem Zugriff schützen.
Quellen: Artikel von Jürgen Schmidt von heise Security
Hinweis: Die Informationen in diesem Artikel basieren auf der Veröffentlichung des Playbooks durch Microsoft und den Erkenntnissen von Jürgen Schmidt von heise Security. Weitere Updates und Informationen finden Sie auf den verlinkten Quellen.