Azures Abuse-Abteilung absoluter Ausfall
Halli-Hallo,
ich bin ja kein Freund davon, pauschal ganze IP-Präfixe von unseren Diensten auszusperren. Tautogramme als Überschrift sind aber kein Problem
Microsoft schafft es, dass ich meine Haltung zu den Sperren aktuell ernsthaft überdenke.
Dass wir Schmuddeltraffic aus den Netzen von Cloud-Anbietern wie Google, Amazon oder Azure bekommen, ist nicht übermäßig überraschend.
Momentan bekommen wir aber auffällig viele Portscans, Vulnerability Scans und Bruteforce aus der Azure-Cloud.
Bei einer der auffälligsten Attacken habe ich mir die Mühe gemacht, das Abuse-Formular von Microsoft auszufüllen. Als Beleg habe ich auch Auszüge aus unseren Logs beigefügt, die sehr eindeutig die Suche nach SQLi-Lücken zeigen.
Nicht ganz fünf Minuten nach Absenden des Formulars bekam ich vom Microsoft "Cyber Defense Operations Center" eine (wie ich vermute automatische) E-Mail, die mir mitteilt: Case Closure Notification.
Weil:
Ich verstehe das so, dass Microsoft sich nicht zuständig fühlt, da irgendwas zu machen. Ist ja schließlich nicht Microsoft sondern deren Kunde, der das Problem verursacht. Und der Kunde ist selbst verantwortlich. Aber es kann auch sein, dass ich dem Software-Hersteller aus Redmond da jetzt etwas unterstelle.
Währenddessen regnen weiterhin diese Scans auf zwei unserer Systeme hernieder. Wenn eine IP gesperrt wird, kommt die nächste.
Die ursprünglich gemeldete inkriminierende IP-Adresse ist übrigens weiterhin online und arbeitet sich weiterhin an den Honeypots ab. Wohlgemerkt nunmehr ca. 7 Stunden nach Reporting.
Dass Microsoft das "appropriately actioned" hat, will ich nicht bestreiten. Deren Definition von "appropriate" weicht aber von der verbreiteten Vorstellung einer angemessenen Reaktion stark ab.
Meine irritierte Nachfrage jedenfalls an das "CDOC Case Management", wie ich diese wenig effektive Art von Abuse-Handling denn nun verstehen müsste und ob der Abuse absehbar aufhören wird, blieb indes unbeantwortet.
Nachdem diese Art Scans von unserer WAF nicht so toll automatisch zurückgehalten wird, auf dem Backend aber durchaus Last erzeugt, habe ich also tatsächlich das Präfix 20.0/11 von Azure vorläufig manuell in die Sperrliste genommen.
Das scheint mir sowieso ein inhärentes Problem mit Cloud-Anbietern zu sein:
Google und Microsoft automatisieren das Abuse-Handling so, dass es nicht mehr funktioniert und das natürlich die Schmuddeltypen anzieht, die dann aus den Clouds heraus im Internet herumrandalieren. Das erzeugt dann noch mehr Abuse-Meldungen, dann wird noch stärker automatisiert...
Bei Amazon habe ich hingegen Erfolge verzeichnet und Beschwerden führen tatsächlich zeitnah zu einem brauchbaren Ergebnis.
Und bis Microsoft das Problem in den Griff kriegt, bleiben deren Präfixe gesperrt (bisher scheint es keine legitimen Requests getroffen zu haben).
ich bin ja kein Freund davon, pauschal ganze IP-Präfixe von unseren Diensten auszusperren. Tautogramme als Überschrift sind aber kein Problem
Microsoft schafft es, dass ich meine Haltung zu den Sperren aktuell ernsthaft überdenke.
Dass wir Schmuddeltraffic aus den Netzen von Cloud-Anbietern wie Google, Amazon oder Azure bekommen, ist nicht übermäßig überraschend.
Momentan bekommen wir aber auffällig viele Portscans, Vulnerability Scans und Bruteforce aus der Azure-Cloud.
Bei einer der auffälligsten Attacken habe ich mir die Mühe gemacht, das Abuse-Formular von Microsoft auszufüllen. Als Beleg habe ich auch Auszüge aus unseren Logs beigefügt, die sehr eindeutig die Suche nach SQLi-Lücken zeigen.
Nicht ganz fünf Minuten nach Absenden des Formulars bekam ich vom Microsoft "Cyber Defense Operations Center" eine (wie ich vermute automatische) E-Mail, die mir mitteilt: Case Closure Notification.
Weil:
This message is to notify you that the Computer Emergency Response Team has reviewed your reported issue and has actioned it appropriately.
The activity reported is associated with a customer account within the Microsoft Azure service.
Microsoft Azure provides a cloud computing platform in which customers can deploy their own software applications.
Customers, not Microsoft, control what applications are deployed on their account.
The specific details of this case will not be provided in accordance with our customer privacy policy.
Microsoft is continuously refining its systems to detect and prevent abuse of its online services.
For more information about Microsoft Azure, visit https://azure.microsoft.com/en-us.
Thank you,
Computer Emergency Response Team
The activity reported is associated with a customer account within the Microsoft Azure service.
Microsoft Azure provides a cloud computing platform in which customers can deploy their own software applications.
Customers, not Microsoft, control what applications are deployed on their account.
The specific details of this case will not be provided in accordance with our customer privacy policy.
Microsoft is continuously refining its systems to detect and prevent abuse of its online services.
For more information about Microsoft Azure, visit https://azure.microsoft.com/en-us.
Thank you,
Computer Emergency Response Team
Ich verstehe das so, dass Microsoft sich nicht zuständig fühlt, da irgendwas zu machen. Ist ja schließlich nicht Microsoft sondern deren Kunde, der das Problem verursacht. Und der Kunde ist selbst verantwortlich. Aber es kann auch sein, dass ich dem Software-Hersteller aus Redmond da jetzt etwas unterstelle.
Währenddessen regnen weiterhin diese Scans auf zwei unserer Systeme hernieder. Wenn eine IP gesperrt wird, kommt die nächste.
Die ursprünglich gemeldete inkriminierende IP-Adresse ist übrigens weiterhin online und arbeitet sich weiterhin an den Honeypots ab. Wohlgemerkt nunmehr ca. 7 Stunden nach Reporting.
Dass Microsoft das "appropriately actioned" hat, will ich nicht bestreiten. Deren Definition von "appropriate" weicht aber von der verbreiteten Vorstellung einer angemessenen Reaktion stark ab.
Meine irritierte Nachfrage jedenfalls an das "CDOC Case Management", wie ich diese wenig effektive Art von Abuse-Handling denn nun verstehen müsste und ob der Abuse absehbar aufhören wird, blieb indes unbeantwortet.
Nachdem diese Art Scans von unserer WAF nicht so toll automatisch zurückgehalten wird, auf dem Backend aber durchaus Last erzeugt, habe ich also tatsächlich das Präfix 20.0/11 von Azure vorläufig manuell in die Sperrliste genommen.
Das scheint mir sowieso ein inhärentes Problem mit Cloud-Anbietern zu sein:
Google und Microsoft automatisieren das Abuse-Handling so, dass es nicht mehr funktioniert und das natürlich die Schmuddeltypen anzieht, die dann aus den Clouds heraus im Internet herumrandalieren. Das erzeugt dann noch mehr Abuse-Meldungen, dann wird noch stärker automatisiert...
Bei Amazon habe ich hingegen Erfolge verzeichnet und Beschwerden führen tatsächlich zeitnah zu einem brauchbaren Ergebnis.
Und bis Microsoft das Problem in den Griff kriegt, bleiben deren Präfixe gesperrt (bisher scheint es keine legitimen Requests getroffen zu haben).
Please also mark the comments that contributed to the solution of the article
Content-ID: 3282941687
Url: https://administrator.de/contentid/3282941687
Printed on: October 5, 2024 at 04:10 o'clock
4 Comments
Latest comment
Moin,
wusste der Prophet Reinhard Mey schon 1974: https://de.wikipedia.org/wiki/%C3%9Cber_den_Wolken
Gruß
cykes
wusste der Prophet Reinhard Mey schon 1974: https://de.wikipedia.org/wiki/%C3%9Cber_den_Wolken
Gruß
cykes
Alliteration. Tautogramm nur, wenn Du Deinen Beitragstitel auch als Gedicht verstehst
Stell doch mal Strafanzeige gegen Unbekannt (noch kostenfreie Version) oder bemühe einen Anwalt und lass ihn (oder sie) Microsoft anschreiben, dass man Euren Gewerbebetrieb gestört habe (nicht mehr kostenfrei).
Oder lass Microsoft abmahnen (bedingt kostenfrei).
Die Strafbarkeit ergibt sich aus § 303 lit a,b StGB oder § 202 lit a-d.
Ich wage allerdings eine Voraussage:
Das Verfahren wird eingestellt, weil ein Täter nicht ermittelt werden kann.
Die Behörden werden einen Sch tun, um von Microsoft zu erfahren, wer die Azure Cloud-Accounts innehatte. Zudem kann man davon ausgehen, dass wenn Microsoft die Namen rausrückt, es sich um gehackte Accounts handelt und die eigentlichen Täter unerkannt bleiben.
Dennoch: Strafanzeige stellen ist nicht sehr viel Aufwand und kann formlos erfolgen. Meine Hoffung ist immer, dass irgendwer bei Polizei oder Staatsanwaltschaft diese Dinge sammelt oder tatsächlich ein Täter ermittelt werden konnte, den man auch für die angezeigte Straftat haftbar machen kann.
Stell doch mal Strafanzeige gegen Unbekannt (noch kostenfreie Version) oder bemühe einen Anwalt und lass ihn (oder sie) Microsoft anschreiben, dass man Euren Gewerbebetrieb gestört habe (nicht mehr kostenfrei).
Oder lass Microsoft abmahnen (bedingt kostenfrei).
Die Strafbarkeit ergibt sich aus § 303 lit a,b StGB oder § 202 lit a-d.
Ich wage allerdings eine Voraussage:
Das Verfahren wird eingestellt, weil ein Täter nicht ermittelt werden kann.
Die Behörden werden einen Sch tun, um von Microsoft zu erfahren, wer die Azure Cloud-Accounts innehatte. Zudem kann man davon ausgehen, dass wenn Microsoft die Namen rausrückt, es sich um gehackte Accounts handelt und die eigentlichen Täter unerkannt bleiben.
Dennoch: Strafanzeige stellen ist nicht sehr viel Aufwand und kann formlos erfolgen. Meine Hoffung ist immer, dass irgendwer bei Polizei oder Staatsanwaltschaft diese Dinge sammelt oder tatsächlich ein Täter ermittelt werden konnte, den man auch für die angezeigte Straftat haftbar machen kann.
Also die Nachricht besagt erstmal das MS (aus seiner Sicht) angemessene Handlungen vollzogen hat, das sie toll sind, das sie auch an Scumbags vermieten und das sie leider keine weiteren Informationen über ihre Kunden raus geben können. Das kann heißen das sie sich gekümmert haben nur eben keine Details raus geben wollen oder das es ihnen egal ist.
Ich würde weitere Abuse Meldungen regnen lassen da das Verhalten ja immer noch statt findet. Einfach neue Meldungen produzieren.
Bei der Strafanzeige geht es eigentlich mehr darum bei Microsoft Arbeit zu verursachen die nicht automatisiert werden kann und dementsprechend mehr nervt. Das könnte man außerdem tun und die Polizei wird vermutlich (selbst auch genervt) zumindest MS anschreiben, so nach ca. 3 Monaten.
Da du MS schon weitest gehend ausgesperrt hast würde ich das grundsätzlich beibehalten als Vorsichtsmaßnahme. Sobald dann ein Microsoft Kunde Probleme damit bekommt möge er doch bitte weitere Abuse Meldungen über seinen Kunden Account stellen.
PS: Ein Anwalt wäre vermutlich teuer und da wird auch nicht viel draus. Dann das Geld vielleicht lieber ein automatisierte Abuse Meldungen investieren um Waffengleichheit bei der Automatisierung her zu stellen.
Ich würde weitere Abuse Meldungen regnen lassen da das Verhalten ja immer noch statt findet. Einfach neue Meldungen produzieren.
Bei der Strafanzeige geht es eigentlich mehr darum bei Microsoft Arbeit zu verursachen die nicht automatisiert werden kann und dementsprechend mehr nervt. Das könnte man außerdem tun und die Polizei wird vermutlich (selbst auch genervt) zumindest MS anschreiben, so nach ca. 3 Monaten.
Da du MS schon weitest gehend ausgesperrt hast würde ich das grundsätzlich beibehalten als Vorsichtsmaßnahme. Sobald dann ein Microsoft Kunde Probleme damit bekommt möge er doch bitte weitere Abuse Meldungen über seinen Kunden Account stellen.
PS: Ein Anwalt wäre vermutlich teuer und da wird auch nicht viel draus. Dann das Geld vielleicht lieber ein automatisierte Abuse Meldungen investieren um Waffengleichheit bei der Automatisierung her zu stellen.
Zitat von @ukulele-7:
Ich würde weitere Abuse Meldungen regnen lassen da das Verhalten ja immer noch statt findet. Einfach neue Meldungen produzieren.
Ich würde weitere Abuse Meldungen regnen lassen da das Verhalten ja immer noch statt findet. Einfach neue Meldungen produzieren.
Da passiert nichts, die haben kein Personal dafür. Selbst als großer Azure-Kunde bekommt man dieselbe Antwort, und Ansprechpartner sind hilflos. Ok, vielleicht ist der Botnetz-Betreiber größer.
Ein CERT im eigentlichen Sinne scheint es für Azure nicht zu geben. Bei Schwachstellen in den PaaS-Diensten, zu denen es noch gar keine verlässlichen Informationen gibt, ist es ja auch so, dass sie einem sagen, man solle selbst in den Logs schauen, ob es zu unberechtigten Zugriffen kam. Dass man als Hersteller sein spezifisches Wissen um die Schwachstelle und die Kunden-Tenants nutzen könnte, um mit geringem Aufwand die verwundbaren Ressourcen zu ermitteln und die Nutzer zu benachrichtigen, darauf kommen sie nicht.
Grüße
Richard