CISA发布新工具来增强微软云环境的安全保护

关键要点

CISA最近推出了一款新工具，旨在支持网络防御者检测Microsoft Azure、Azure Active DirectoryAAD和Microsoft 365环境中的恶意活动。这个名为未经命名的鹅工具的工具是由Cybersecurity and Infrastructure Security Agency网络安全与基础设施安全局与桑迪亚国家实验室合作开发的。它提供了一些新颖的认证和数据收集方法，以帮助识别和分析微软云服务中的威胁。

CISA表示：“未经命名的鹅工具是一个强大且灵活的狩猎和事件响应工具，增加了新的身份验证和数据收集方式，以便针对客户的Azure Active Directory、Azure和M365环境进行全面调查。”

网络防御者需要使用Python 37、38或39来运行此工具，CISA建议在虚拟环境中使用Goose。该工具的发布与近期发现的多个Azure服务中的漏洞密切相关，包括潜在的网络安全缺陷，这些缺陷可能允许发生服务器端请求伪造SSRF。这项漏洞早在一月就已披露，攻击者能够在没有Azure账户的情况下利用此漏洞。

与此同时，January报告的另一项跨站请求伪造漏洞针对多个Microsoft Azure云服务，可能使攻击者能够接管应用并远程执行代码。该漏洞是由于操控Kudu一个后端源控制管理工具的错误配置和安全绕过造成的。

SpecterOps的首席产品架构师Andy Robbins在SC Media的一篇介绍中曾解释过：“身份攻击路径指的是攻击者滥用合法用户凭证和特权以横向移动或提升权限，直至达到其目标，这在许多Azure部署中都是一个重大问题。”这些漏洞可允许攻击者提取数据或启动恶意软件，同时又因其依赖合法功能和凭证的滥用而较难被检测和阻止。

此外，Robbins补充道：“与本地攻击路径相比，Azure攻击路径更难以确保安全和管理，因为Azure中的身份会复杂得多。”例如，“Active Directory中的连接往往不被很好地理解，给攻击者提供了许多机会。”

未经命名的鹅工具能够检测到利用漏洞的实例并支持补救措施。一旦检测到可疑活动，安全领导者可以使用该工具导出并审核AAD登录和审计日志，M365统一审计日志、活动日志，以及来自Microsoft Defender for IoT和Endpoint的数据的警报。此外，还可以查询、导出并调查相关的配置。

更重要的是，该工具能够从相关服务提取云工件，而无需进行额外的分析，在特定时间范围内提取数据，并收集和审核与时间边界能力相关的数据。

CISA呼吁网络防御者在开始使用GitHub代码库之前，先查看未经命名的鹅工具的事实说明书，以了解其功能。说明书中包含权限要求，以确保工具仅具有只读访问权限，并提供有效使用该工具的具体方式。同时，还有一个关于已知问题的重要部分，帮助进行故障排除。