Criminelen stelen 11.000 wachtwoorden via Outlook-mailserver
Criminelen hebben door het infecteren van een Outlook-mailserver van een Amerikaans bedrijf meer dan 11.000 wachtwoorden met bijbehorende gebruikersnamen weten te stelen. Dat meldt beveiligingsbedrijf Cybereason in een rapport (pdf). Om welk bedrijf het precies gaat is niet bekendgemaakt.
Bij de aanval hadden de aanvallers een malafide module aan de Microsoft Outlook Web Application (OWA) toegevoegd, de webmailserver waar het bedrijf gebruik van maakte. Via de module konden de aanvallers alle inloggegevens opslaan. Daarnaast diende de module ook als backdoor. Het aangevallen bedrijf gebruikte OWA om gebruikers op afstand toegang tot Outlook te geven.
Volgens het beveiligingsbedrijf zorgde deze configuratie van OWA voor een ideaal aanvalsplatform, omdat de server zowel intern als extern was blootgesteld. Aangezien OWA-authenticatie op domeinwachtwoorden is gebaseerd, kan een aanvaller met toegang tot de OWA-server zo de domeinwachtwoorden van de hele organisatie in handen krijgen. De module bleek meer dan 11.000 wachtwoorden te hebben opgeslagen. Hoe de OWA-server in eerste instantie geïnfecteerd kon raken laat Cybereason niet weten.
Later staat er OWA-server, ook dit is dezelfde Microsoft Exchange server.
Volgens mij moet je exchange beheer rechten hebben om modules toe te voegen aan OWA.
Laatste zin staat dat ze niet vermelden hoe de server in eerste instantie geinfecteerd kon raken...
Dat laatste is denk gewoon omdat ze met een account met exchange rechten hebben kunnen inloggen...
Ook geven ze geen hash van de comprimised DLL (zodat andere het kunnen controleren) of een suggestie hoe deze op de Exchange server is gekomen (via een exploit? Of doordat admin credentials al eerder gejat waren?). Ook niet wat voor security maatregelen er aanwezig waren en waren omzeild (reverse proxy, AV etc..). Tevens is dit maar één enkele keer geconstateerd.
Het gebrek aan te controleren informatie doet mij inderdaad denken dat dit meer een reclame stunt is voor het security bedrijf dan daadwerkelijk een nuttig bericht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.