CISA von Homeland Security veröffentlicht Sparrow-Schwachstellen- und Exploit-Erkennungstool für Microsoft 365-Netzwerke

Mit dem jüngsten Bericht, dass Hacker Microsoft 365 ausnutzen, um kommerzielle und sensible Regierungsnetzwerke zu kompromittieren, hat die Cybersecurity & Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums ein Tool veröffentlicht, das Netzwerkadministratoren dabei hilft, ihre Microsoft 365-basierte Infrastruktur zu sichern.

Sparrow.ps1 ist ein Powershell-basiertes Tool, das vom Cloud Forensics-Team von CISA entwickelt wurde, um bei der Erkennung möglicher kompromittierter Konten und Anwendungen in der Azure/m365-Umgebung zu helfen. Das Tool ist für die Verwendung durch Incident Responder gedacht und konzentriert sich auf den engen Umfang der Benutzer- und Anwendungsaktivitäten, die endemisch für identitäts- und authentifizierungsbasierte Angriffe sind, die kürzlich in mehreren Sektoren beobachtet wurden.

Sparrow.ps1 überprüft und installiert die erforderlichen PowerShell-Module auf dem Analysecomputer, überprüft das einheitliche Überwachungsprotokoll in Azure/M365 auf bestimmte Kompromittierungsindikatoren (IoCs), listet Azure AD-Domänen auf und überprüft Azure-Dienstprinzipale und ihre Microsoft Graph-API-Berechtigungen um potenzielle böswillige Aktivitäten zu identifizieren. Das Tool gibt die Daten dann in mehreren CSV-Dateien in einem Standardverzeichnis aus.

CISA warnt davor, dass das Open-Source-Tool kein Ersatz für Intrusion Detection-Systeme ist und weder umfassend noch erschöpfend in Bezug auf verfügbare Daten ist, und beabsichtigt, einen größeren Satz verfügbarer Untersuchungsmodule und Telemetrie auf diejenigen einzugrenzen, die spezifisch für aktuelle Angriffe auf föderierte Identitätsquellen sind Anwendungen.

Das Tool ist kostenlos nutzbar und auf GitHub zu finden hier.

derWindowsClub