Azure subscription hacking

Waar we in het verleden bang waren dat hackers spullen stelen, is het de laatste tijd een trend dat er iets gebracht wordt. Dit artikel gaat over de Azure subsription hacks die de laatste tijd steeds vaker plaatsvinden.

Een slachtoffer van de hack heeft een Azure-abonnement. Op tenant staat geen dubbele authenticatie, 2FA, ingesteld. (wat is 2FA > www.nubix.nl/2fa)

De hacker krijgt het voor elkaar om in te loggen op de Azure tenant. Dat kan door het admin account te hacken, of een admin account op Office 365 te hacken. Dat laatste account heeft dan ook toegang tot Azure.

De hacker heeft het wachtwoord bijvoorbeeld gevonden op het Dark web, een al gehackte database, een brute force aanval of via phishing. Kortom, de hacker heeft het wachtwoord van het admin account.

Als dit admin account eigenaar is van het Azure abonnement kan de hacker de toegang op alle Azure abonnementen aanpassen.

En nu komt het deel, “Ze komen iets brengen”. De hacker zet diverse zware virtuele machines aan om crypto te minen. Crypto mining kan zeer winstgevend zijn als je geen kosten hebt aan de machines die het minen uitvoeren. Immers, doordat de hacker deze machines in jouw omgeving aanzet, heb jij de kosten!
Dit kunnen servers zijn die zo € 20.000,- per maand kosten. En als jou omgeving op Creditcard > Pay-As-You-Go staat, dan zal het bedrag van jou Credit Card afgeschreven worden.

Hoe dan?
Bijna alle aanvallen slagen door een zeer zwakke beveiliging op je identiteit. Slechte wachtwoorden in combinatie met het ontbreken van 2FA.

Ons advies is ten alle tijden het toepassen van 2FA. Geen enkele discussie. Niet alleen op de Microsoft diensten, maar op alles waar het mogelijk is. Het is relatief simpel en voorkomt zoveel ellende. 2FA moet is net zo belangrijk zijn als een goede backup.
Stel dat 2FA niet mogelijk is voor service accounts, zet hier complexe wachtwoorden op en sla die op een veilige locatie op.

Daarnaast kunnen we de admin toegang blokker vanaf niet vertrouwde locaties op basis van publieke IP adressen. Hierbij moet wel goed nagedacht worden over een backup locaties voor het geval een publiek IP adres wijzigt. Periodiek zal je dit moeten testen om uitsluiting te voorkomen.

Detectie
Via de Azure monitor of Microsoft Sentinal kan je meldingen genereren als er kwaadwillende activiteiten plaatsvinden op de omgeving.

Bijvoorbeeld bij het gebruik van een noodaccount (deze voegen we toe om uitsluiting tot een tenant te voorkomen) krijgen we een melding dat deze gebruikt wordt om in te loggen.
We kunnen meldingen zetten op het wijzigen van rechten in Azure, of als bijvoorbeeld een hacker een rol aanmaakt die dezelfde hacker weer meer rechten geeft.

Allerlei voorbeelden van meldingen die we generen. Om het gebruik in een vroeg stadium te detecteren.

De conclusie is toch wel: “Zorg voor beveiliging op je omgeving!” uiteindelijk krijg jij de kosten als het mis gaat. Het beveiligen begint met 2FA.