网络安全和基础设施安全局发布的新工具旨在支持网络防御者检测 Microsoft Azure、Azure Active Directory (AAD) 和 Microsoft 365 环境中的恶意活动。
CISA在桑迪亚国家实验室的支持下开发了无题鹅工具。Goose 支持新颖的身份验证和数据收集方法,能够支持 Microsoft 云服务的威胁检测和分析。
“Untitled Goose Tool 是一款强大而灵活的搜索和事件响应工具,它添加了新颖的身份验证和数据收集方法,以便对客户的 Azure Active Directory、Azure 和 M365 环境进行全面调查,”CISA 写道。
网络防御者需要利用 Python 3.7、3.8 或 3.9 来运行该工具,CISA 建议在虚拟环境中使用 Goose。
该版本遵循在某些 Azure 服务中发现的多个漏洞披露,包括在云环境中发现的一个普遍的 Web 安全漏洞,该漏洞可能允许服务器端请求伪造 (SSRF)。1 月份披露的漏洞可以在没有 Azure 帐户的情况下执行。
与此同时,一月份报告的软件管理工具中的跨站点请求伪造漏洞影响了多项 Microsoft Azure 云服务,并可能使攻击者能够接管应用程序并远程执行代码。该错误是在后端源代码控制管理工具 Kudu 中操纵错误配置和安全绕过的结果。
“身份攻击路径是许多 Azure 部署中的一个重要问题,攻击者滥用合法用户凭据和特权横向移动或提升特权直到达到目标,”SpecterOps 首席产品架构师 Andy Robbins 之前在 SC 中解释道媒体入门。
Robbins 解释说,这些漏洞可以让攻击者窃取数据或启动恶意软件,同时难以检测和阻止,因为这些攻击方法依赖于滥用合法功能和凭据。
此外,“Azure 攻击路径比本地攻击路径更难保护和管理,因为 Azure 中的身份要复杂得多,”他补充道。“Active Directory 中的连接,”例如,“往往知之甚少,并为攻击者提供了许多机会。”
Untitled Goose Tool 可以检测漏洞利用实例并支持修复。
在检测到可疑活动时,安全负责人可以使用该工具导出和查看 AAD 登录和审计日志、M365 统一审计日志、活动日志以及来自 Microsoft Defender 的物联网和端点数据警报,以及查询、导出、并调查相关配置。
此外,该工具可以从相关服务中提取云工件,而无需执行额外的分析、在特定时间范围内提取数据,以及收集和审查与时间限制功能相关的数据。
CISA 敦促网络维护者在开始使用 GitHub 存储库以了解其功能之前先查看 Untitled Goose Tool 情况说明书。这些见解包括确保该工具仅具有只读访问权限的权限要求以及有效使用该工具的精确方法。还有一个关于已知问题的重要部分,以支持故障排除。
