In un report pubblicato di recente, la Cybersecurity and Infrastructure Security Agency (CISA) ha rivelato uno strumento basato su PowerShell che potrebbe aiutare a rilevare applicazioni e account potenzialmente compromessi nelle implementazioni di Microsoft 365 e Azure. Ciò è stato possibile dopo che Microsoft ha dettagliato come le credenziali rubate e i token di accesso vengono utilizzati dai gruppi di hacking per compromettere gli utenti di Azure in tutto il mondo.
Il rapporto dell’Agenzia afferma che si tratta di uno strumento gratuito in grado di rilevare attività dannose che minacciano gli utenti negli ambienti vulnerabili: “Intendevamo adattarci a complessi scenari di risposta agli incidenti concentrandosi su attività endemiche dei recenti attacchi basati sull’identità“.
Il team Cloud Forensics di CISA ha definito questo strumento “Sparrow” e può essere utilizzato per restringere set più grandi di moduli di indagine e telemetria a quelli specifici dei recenti attacchi all’identità federata Lo strumento controlla anche il registro di controllo unificato di Azure/M365 alla ricerca di indicatori di compromesso, elenca i domini di Azure AD e controlla le entità servizio di Azure e le autorizzazioni api di Microsoft Graph per rilevare comportamenti potenzialmente dannosi nei sistemi di destinazione.
- Cercare le modifiche alle impostazioni di dominio e federazione nel dominio di un tenant
- Cercare modifiche alle credenziali in un’applicazione
- Ricerca di account di accesso di PowerShell nelle cassette postali
- Cercare l’AppID noto per Exchange Online PowerShell
- Ricerca appID nota per PowerShell
- Ricerca AppID per verificare se è stato eseguito l’accesso agli elementi di posta elettronica
La CISA non è l’unica organizzazione ad aver sviluppato tali strumenti. Recentemente, la società di sicurezza informatica CrowdStrike ha rilasciato uno strumento simile, sviluppato dopo aver studiato un attacco informatico fallito mirato a più implementazioni di Azure. Questo strumento è stato anche utilizzato durante le indagini sul massiccio hack di SolarWinds, ma CrowdStrike ha confermato che non c’erano prove di impatto nella catena di approvvigionamento.
Il rapporto completo e lo strumento sono disponibili sulle piattaforme ufficiali di CISA e nel suo repository GitHub.