Die Cybersecurity and Infrastructure Security Agency (CISA) hat ein neues PowerShell-basiertes Tool veröffentlicht, das es Administratoren erleichtert, kompromittierte Anwendungen und Konten in Azure- und Microsoft 365-Umgebungen zu erkennen. Die Veröffentlichung des Tools erfolgt, nachdem Microsoft enthüllt hat, wie Cyberkriminelle vorgehen In einem kürzlich erschienenen Blogbeitrag sowie in einem zuvor veröffentlichten Blogbeitrag wurde auf gestohlene Anmeldeinformationen und Zugriffstoken hingewiesen, um Azure-Kunden gezielt anzusprechen. diesen Monat. Eine sorgfältige Durchsicht beider Veröffentlichungen vermittelt Azure-Administratoren das nötige Wissen, um abnormales Verhalten bei ihren Mandanten zu erkennen. CISA stellte in einem Hinweis auf seiner Website zusätzliche Informationen zu seinem neuen PowerShell-basierten Tool bereit, das auf GitHub zum Download zur Verfügung steht: „CISA hat ein kostenloses Tool entwickelt, um ungewöhnliche und potenziell bösartige Aktivitäten zu erkennen, die Benutzer und Anwendungen in einem bedrohen.“ Azure/Microsoft O365-Umgebung. Das Tool ist für den Einsatz durch Vorfallhelfer konzipiert und konzentriert sich stark auf Aktivitäten, die bei jüngsten identitäts- und authentifizierungsbasierten Angriffen in verschiedenen Branchen auftreten. Das neue PowerShell-basierte Tool von CISA wurde vom Cloud Forensics-Team der Agentur entwickelt und trägt den Namen Sparrow. Das Tool selbst kann verwendet werden, um große Sätze von Umfrage- und Telemetriemodulen „auf diejenigen zu beschränken, die speziell für Angriffe gegen föderierte Identitätsquellen und Anwendungen geeignet sind.“ Sparrow Sie können das einheitliche Überwachungsprotokoll von Azure und Microsoft 365 auf Kompromittierungsindikatoren (Indicators of Compromise, IoC) überprüfen, Azure AD-Domänen auflisten und Azure-Dienstprinzipale und deren Berechtigungen überprüfen. Mithilfe der Microsoft Graph-API können potenzielle schädliche Aktivitäten aufgedeckt werden. CISA ist jedoch nicht der Einzige Microsoft soll ein neues Azure-Sicherheitstool veröffentlicht haben, ebenso wie das Cybersicherheitsunternehmen CrowdStrike. Bei der Untersuchung, ob seine Systeme vom SolarWinds-Hack betroffen waren, teilte Microsoft dem Unternehmen mit, dass ein Azure-Reseller-Konto versucht habe, seine Unternehmens-E-Mails mit kompromittierten Azure-Anmeldeinformationen zu lesen. Um Administratoren dabei zu helfen, ihre Azure-Umgebungen einfacher zu analysieren und die Berechtigungen von Drittpartnern und Wiederverkäufern besser zu verstehen, hat CrowdStrike sein kostenloses CrowdStrike for Azure Reporting Tool (CRT) eingeführt. Über BleepingComputer