Waarschuwing hackpogingen op Microsoft Subscriptions

We hebben bericht van Microsoft ontvangen dat zij momenteel een enorme toename van loginpogingen zien op de Azure API, waarschijnlijk via compromised accounts die geen gebruik maken van PIM en/of MFA.

Wanneer een subscription is gehackt dan wordt deze vaak gebruikt voor cryptomining door een groot aantal N-Series (en M-Series) VM’s op te starten. Daarbij blijven deze VM’s aan staan met alle gevolgen van dien, zeker qua kosten. Er zijn gevallen bekend van klanten met een schadepost die in de honderdduizenden euro’s loopt. De grootte van de organisatie is hierbij niet relevant.

Microsoft benadrukt deze hacks mogelijk zijn door het niet goed inzetten van MFA of geheel niet gebruiken van MFA. Er zijn op dit moment nog veel subscriptions die niet meer worden gebruikt, over het hoofd worden gezien en waarop geen MFA is ingesteld.

Iedereen wordt geadviseerd om kritisch te kijken naar alle subscriptions die worden gebruikt voor tests, development, productie of andere doeleinden.

Concreet luidt het advies:

• Zet MFA aan, het liefst via conditional access. Dit is de allerbelangrijkste stap!
• Gebruik policies die voorkomen dat N-Serie VM’s zomaar kunnen worden aangemaakt. Deze machines zijn vanwege de sizing en GPU-mogelijkheden populair. Hetzelfde geldt voor de M-Series VM’s.
• Maak gebruik van Cost Management, Cost Projection en spending limits (waar mogelijk).