Servers Universiteit Maastricht misten belangrijke update uit 2017
De aanvaller die afgelopen december systemen van de Universiteit Maastricht met ransomware wist te infecteren kon zich onder andere door het netwerk bewegen omdat twee servers een zeer belangrijke beveiligingsupdate van mei 2017 misten. Daardoor waren ze kwetsbaar voor een door de Amerikaanse geheime dienst NSA ontwikkelde exploit. Dat blijkt uit het onderzoeksrapport naar de aanval dat door securitybedrijf Fox-IT is opgesteld (pdf).
Gisteren gaf de universiteit al een presentatie over de aanval. In het onderzoeksrapport zijn meer details te vinden. Zo blijkt dat de aanvaller hetzelfde draaiboek volgde dat ook bij tal van andere ransomware-aanvallen is waargenomen. De aanval begon met verschillende e-mails die naar een kwaadaardig Excel-document wezen. De eerste e-mail die op 15 oktober werd verstuurd had als onderwerp "Documents" en de tekst "As discussed, please see attached a copy of your documents, please can you sign and scan these back to me as soon as possible Download form Microsoft OneDrive", gevolgd door de link.
Uit het vrijgegeven screenshot blijkt dat de universiteitsmedewerker die de e-mail ontving nog een antwoord naar de aanvaller heeft teruggestuurd. Tevens heeft de medewerker het Excel-document geopend. Het document was voorzien van een kwaadaardige macro die malware op het systeem installeerde. Microsoft Office blokkeert standaard macro's. In het geval van een document met macro's krijgen gebruikers de vraag of ze macro's willen inschakelen. Organisaties kunnen een Group Policy doorvoeren die ervoor zorgt dat macro's standaard worden ingeschakeld of geblokkeerd.
De aanvaller verstuurde op 16 oktober naar zes andere e-mailadressen een tweede aanvalsmail met het onderwerp "CL meeting schedule.xls" en de tekst "Hi, Thank you for offering to find rooms for me for this schedule. I can eventually attached It!", gevolgd door een link naar een Excel-document met opnieuw een kwaadaardige macro. Wederom werd de macro ingeschakeld waardoor het virtuele werkstation van de medewerker besmet raakte.
EternalBlue-exploit
Een dag later compromitteert de aanvaller twee servers. Die draaien op Server 2003 R2, waarvan Microsoft op 14 juli 2015 de ondersteuning stopte. Het platform ontvangt geen beveiligingsupdates meer. Daar komt op 12 mei 2017 verandering in. Vanwege de uitbraak van de WannaCry-ransomware brengt Microsoft een noodpatch voor Windows Server 2003 R2 uit. WannaCry maakt gebruik van een beveiligingslek dat door de NSA is ontdekt. De Amerikaanse geheime dienst ontwikkelt een exploit genaamd EternalBlue waarmee kwetsbare systemen zijn aan te vallen. De exploit belandt echter op internet en cybercriminelen gebruiken die om systemen mee aan te vallen.
Ondanks de beschikbaarheid van deze zeer belangrijke beveiligingsupdate wordt die niet door de universiteit geïnstalleerd en maakt de aanvaller hier misbruik van. "Tijdens het onderzoek is duidelijk geworden dat de aanvaller zich onder andere lateraal door het netwerk heeft kunnen bewegen door het gebruiken van de zogenaamde EternalBlue-exploit", aldus Fox-IT. Met de EternalBlue-exploit kan een aanvaller vanaf een ander systeem in het netwerk toegang krijgen tot het aangevallen systeem en malware uitvoeren met het lokale SYSTEM-account
Uiteindelijk weet de aanvaller meer servers te compromitteren en brengt de Active Directory-structuur van het universiteitsnetwerk in kaart. Op 21 november lukt het de aanvaller om domeinbeheerderrechten te verkrijgen. In strijd met het beleid maken systeembeheerders van de universiteit gebruik van het domeinbeheerderaccount voor het uitvoeren van onderhoudswerkzaamheden. Hierdoor was het wachtwoord mogelijk aanwezig in het geheugen van een gecompromitteerd systeem dat door de aanvaller kon worden uitgelezen. Zo is de tool Mimikatz aangetroffen die hiervoor kan worden gebruikt.
Op 23 december rolt de aanvaller, die dan al twee maanden onopgemerkt in het netwerk zit, de ransomware uit. 267 servers raken besmet. Onder de getroffen systemen bevinden zich zeer kritieke systemen voor de bedrijfsvoering van de universiteit, zoals de domaincontrollers, Exchange-servers, bestandsservers met onderzoek- en bedrijfsvoeringsgegevens en een aantal van de back-upservers.
Adviezen
Om herhaling te voorkomen krijgt de universiteit in het rapport verschillende adviezen aangereikt, zoals het inzetten op het verhogen van de awareness van medewerkers, geen werkzaamheden met domeinbeheerderaccounts uit te voeren, het gebruik van (ongetekende) macro's te blokkeren, het gebruik van de Beschermde gebruikersgroep binnen de Active Directory en het tijdig installeren van beveiligingsupdates.
Update
Fox-IT laat aan Security.NL weten dat in het geval van de Universiteit Maastricht macro's door de gebruiker moesten worden geactiveerd.
Reacties (49)
06-02-2020, 12:35 door
DLans
Dus de eindconclusie is eigenlijk dat het een stel prutsers waren. Ja je kan weer een Windows vs Linux oorlog starten, maar het feit is gewoon dat de systeembeheerders hier tegen hun eigen beleid in zelfs gewoon zaken verkeerd deden. Sukkels.
Waarom lees ik nergens dat Universiteit Maastricht alle verantwoordelijk ontslagen heeft en die 197k terugvordert bij de verantwoordelijke foute-linkjes-klikker?
te kort door de bocht: misschien wilden ze die 2003 servers wel patchen, maar mochten ze niet.
verder is het heel gebruikelijk om een domein beheeraccount te gebruiken voor beheerwerkzaamheden die op veel servers tegelijk iets moeten doen. Ja, het is beter om een apart account voor domain controllers, en een apart account voor member servers te gebruiken. Maar dat had de schade alleen wat beperkt, en zeker niet voorkomen.
verder is het heel gebruikelijk om een domein beheeraccount te gebruiken voor beheerwerkzaamheden die op veel servers tegelijk iets moeten doen. Ja, het is beter om een apart account voor domain controllers, en een apart account voor member servers te gebruiken. Maar dat had de schade alleen wat beperkt, en zeker niet voorkomen.
Door DLans: Dus de eindconclusie is eigenlijk dat het een stel prutsers waren. Ja je kan weer een Windows vs Linux oorlog starten, maar het feit is gewoon dat de systeembeheerders hier tegen hun eigen beleid in zelfs gewoon zaken verkeerd deden. Sukkels.
Er zijn gewoon steken laten vallen zoals dat in elke organisatie gedaan wordt.Door Anoniem: Waarom lees ik nergens dat Universiteit Maastricht alle verantwoordelijk ontslagen heeft en die 197k terugvordert bij de verantwoordelijke foute-linkjes-klikker?
Nou, omdat dat gewoonweg niet gaat gebeuren. En dat zou ook niet moeten gebeuren. Dat is gewoon überstom.
06-02-2020, 13:39 door
Bitje-scheef
Iets met de eerste steen werpen....
Door DLans: Dus de eindconclusie is eigenlijk dat het een stel prutsers waren. Ja je kan weer een Windows vs Linux oorlog starten, maar het feit is gewoon dat de systeembeheerders hier tegen hun eigen beleid in zelfs gewoon zaken verkeerd deden. Sukkels.
Jou hebben ze nodig, ik zie aan je post dat jij daadwerkelijk alle wijsheid in pacht hebt, soliciteren zeg ik!
06-02-2020, 13:57 door
Erik van Straten
Natuurlijk is het een blunder dat er nog draaiende Windows 2003 R2 servers aan het netwerk hingen, notabene in het domein UNIMAAS - met alle consequenties van dien, zoals zeer kwetsbare SMB versies moeten toestaan op je netwerk. Erger, de gratis patch MS17-010 was niet geïnstalleerd en, naar ik begrijp, waren deze servers bereikbaar vanaf potentieel onbetrouwbare werkstations.
Maar ik wil het hierbij ook opnemen voor ICT-afdelingen die zich gedwongen voelen om alsmaar systemen toe te voegen en te onderhouden. Dat hoort m.i. op een hoger niveau dan zo'n dienstverlenende afdeling gemanaged te worden.
Wellicht kan iemand hier mij uitleggen waarom een universiteit, voor zover ik weet slechts voor administratieve doeleinden, 287 Windows servers zou moeten hebben?
Zie ook mijn argumenten in https://security.nl/posting/642671.
Maar ik wil het hierbij ook opnemen voor ICT-afdelingen die zich gedwongen voelen om alsmaar systemen toe te voegen en te onderhouden. Dat hoort m.i. op een hoger niveau dan zo'n dienstverlenende afdeling gemanaged te worden.
Wellicht kan iemand hier mij uitleggen waarom een universiteit, voor zover ik weet slechts voor administratieve doeleinden, 287 Windows servers zou moeten hebben?
Zie ook mijn argumenten in https://security.nl/posting/642671.
Die aanvallers waren juist daarnaar op zoek:
https://www.shodan.io/search?query=+Windows+2003+R2+
Er staan er nog 1600 van in de VS en nog een vijftigtal in China en Kora,
met dus 1 ongepatched in Limburg.
Neen, die aanvallers zochten natuurlijk niet via een shodannetje,
die hadden wel effectiever geautomatiseerde methoden.
Verwijtbaar blijft het echter wel voor het CEO-managment/bestuur?
Achteraf een helaas pindakaas verhaal en vooral achteraf is het gemakkelijk reageren voor de lieden hier,
die reageren en die niet met hun laarzen in de loopgraven staan elke dag.
luntrus
https://www.shodan.io/search?query=+Windows+2003+R2+
Er staan er nog 1600 van in de VS en nog een vijftigtal in China en Kora,
met dus 1 ongepatched in Limburg.
Neen, die aanvallers zochten natuurlijk niet via een shodannetje,
die hadden wel effectiever geautomatiseerde methoden.
Verwijtbaar blijft het echter wel voor het CEO-managment/bestuur?
Achteraf een helaas pindakaas verhaal en vooral achteraf is het gemakkelijk reageren voor de lieden hier,
die reageren en die niet met hun laarzen in de loopgraven staan elke dag.
luntrus
Door donderslag: Zucht. OpenBSD gebruiken, jongens!
Als je daar je updates niet bij installeert ben je net zo goed kwetsbaar.
https://www.cvedetails.com/vulnerability-list/vendor_id-97/Openbsd.html
Door Anoniem: Waarom lees ik nergens dat Universiteit Maastricht alle verantwoordelijk ontslagen heeft en die 197k terugvordert bij de verantwoordelijke foute-linkjes-klikker?
De linkjesklikker valt zeer beperkt wat te verwijten. Dat de omgeving fout links toestaat zaken uit te voeren is veel kwalijker.
13:57 door Erik van Straten: Natuurlijk is het een blunder dat er nog draaiende Windows 2003 R2 servers aan het netwerk hingen, notabene in het domein UNIMAAS - met alle consequenties van dien, zoals zeer kwetsbare SMB versies moeten toestaan op je netwerk.
Ja inderdaad, twee hele grote mazen in UNIMAAS die zo ongeveer universeel uit te buiten waren...Misschien moeten ze in Maastricht die naam maar veranderen,
want voor buitenlandse hackers die proberen het te vertalen kan zo'n naam extra de aandacht trekken! ; )
Door donderslag: Zucht. OpenBSD gebruiken, jongens!
ja dan krijg je systeembeheerders die dan OpenBSD gebruiken en nooit gaan patchen...daar wordt de wereld beter van.
06-02-2020, 14:53 door
DLans
Door Anoniem:
Jou hebben ze nodig, ik zie aan je post dat jij daadwerkelijk alle wijsheid in pacht hebt, soliciteren zeg ik!
Door DLans: Dus de eindconclusie is eigenlijk dat het een stel prutsers waren. Ja je kan weer een Windows vs Linux oorlog starten, maar het feit is gewoon dat de systeembeheerders hier tegen hun eigen beleid in zelfs gewoon zaken verkeerd deden. Sukkels.
Jou hebben ze nodig, ik zie aan je post dat jij daadwerkelijk alle wijsheid in pacht hebt, soliciteren zeg ik!
Klopt het niet dan?
Wellicht kan iemand hier mij uitleggen waarom een universiteit, voor zover ik weet slechts voor administratieve doeleinden, 287 Windows servers zou moeten hebben?
Zie ook mijn argumenten in https://security.nl/posting/642671.
Zie ook mijn argumenten in https://security.nl/posting/642671.
veel gebeurt tegenwoordig op virtuele desktops zeker op een uni met een BYOD policy is dat een relatief goede methode om de beveiliging van het eigen systeem te waarborgen. plus de hoeveelheid data die rond gaat en ook de aanwezige pc's hebben toch ook resources nodig. denk aan DC, failover, wsus, misschien een printserver of 2 noem maar op. dit hoeft overigens niet uitsluitend over fysieke machines te gaan, kunnen ook virtuele servers mee bedoeld worden.
06-02-2020, 14:57 door
DLans
Door Anoniem: te kort door de bocht: misschien wilden ze die 2003 servers wel patchen, maar mochten ze niet.
verder is het heel gebruikelijk om een domein beheeraccount te gebruiken voor beheerwerkzaamheden die op veel servers tegelijk iets moeten doen. Ja, het is beter om een apart account voor domain controllers, en een apart account voor member servers te gebruiken. Maar dat had de schade alleen wat beperkt, en zeker niet voorkomen.
verder is het heel gebruikelijk om een domein beheeraccount te gebruiken voor beheerwerkzaamheden die op veel servers tegelijk iets moeten doen. Ja, het is beter om een apart account voor domain controllers, en een apart account voor member servers te gebruiken. Maar dat had de schade alleen wat beperkt, en zeker niet voorkomen.
2003r2 servers. 2003r2 ... Geen support meer sinds 2015. Je hebt sindsdien 2008, 2008r2, 2012, 2012r en 2016 gehad, en we zitten inmiddels op versie 2019
Klopt het niet dan?
nee, bij maintanance werkzaamheden, worden vaker accounts gebruikt met meer rechten dan wanneer iemand een simpele taak aan moet zetten. en dat van die update, tenzij je er echt op gebrand bent verwacht je na de end of life van een product geen patches meer, dit ook omdat Microsoft vaak als policy heeft buigen of barsten. of je update of we negeren alle beveiliging issues van nu af aan.
Windows 2003 .......
Patch beschikbaar sinds 2017 niet geinstalleerd.......
Domain admin account gebruiken voor standaard werkzaamheden .........
How many times do we have to teach you this lesson !!!!
Fout gestapeld op fout.
Tijd voor de IT afdeling om een andere uitdaging te gaan zoeken
Patch beschikbaar sinds 2017 niet geinstalleerd.......
Domain admin account gebruiken voor standaard werkzaamheden .........
How many times do we have to teach you this lesson !!!!
Fout gestapeld op fout.
Tijd voor de IT afdeling om een andere uitdaging te gaan zoeken
Door Anoniem: Ik zou me schamen als CISO
Onzin, misschien heft de CISO dit scenario al 100x verteld intern en krijgt hij steeds geen/minder budget.
Dan komt dit NIET door de CISO!
Wat ik zag in het live symposium is dat de IT manager op een gegeven moment niet wist te duiden waar CISO als afkorting voor stond. Toeval of legt het precies de vinger op de zwerende wond?
Door donderslag: Zucht. OpenBSD gebruiken, jongens!
Zucht... Dit soort opmerkingen laat weer duidelijk zien, dat sommige personen er echt helemaal niets van snappen.Door Anoniem: te kort door de bocht: misschien wilden ze die 2003 servers wel patchen, maar mochten ze niet.
Theoretisch mogelijk, maar zeer onwaarschijnlijk. Aangezien dit al jaren mogelijk was om te doen.verder is het heel gebruikelijk om een domein beheeraccount te gebruiken voor beheerwerkzaamheden die op veel servers tegelijk iets moeten doen. Ja, het is beter om een apart account voor domain controllers, en een apart account voor member servers te gebruiken. Maar dat had de schade alleen wat beperkt, en zeker niet voorkomen.
Is een vrij standaard tiering model, basis inrichting waarop het misgegaan in. Bij juiste implementatie had dit juist een hoop ellende kunnen voorkomen. Je domain controllers hadden dan namelijk geïnfecteerd kunnen worden. En met juiste verdere afscherming hadden je backups ook beschermd geweest bij dedicated accounts.Zeker icm juiste firewalling.
Dus nee, hier heeft de universiteit flink geblunderd.
Door Anoniem: Ik zou me schamen als CISO
Tja... Je hebt hier een punt. Maar probeer dit maar eens met krachtige eilandjes politiek op te lossen. Dat zal je vies tegenvallen hoeveel je soms gedaan krijgt in bepaalde organisaties.Door DLans: Dus de eindconclusie is eigenlijk dat het een stel prutsers waren. Ja je kan weer een Windows vs Linux oorlog starten, maar het feit is gewoon dat de systeembeheerders hier tegen hun eigen beleid in zelfs gewoon zaken verkeerd deden. Sukkels.
Goed om te weten: Schelden is de nieuwe leidende norm voor bekwaamheid in de ICT. Vakkennis is daaraan ondergeschikt.
Jou moet Nederland hebben als lichtend voorbeeld hoe het beter moet.
Interessant dat de feitelijke phishing e-mails bekend zijn gemaakt. Het lijkt mij dat de medewerkers/studenten die in die mails geklikt hebben óf oliedom waren -- een e-mail zonder persoonlijke aanhef, verwijzing naar een discussie die uiteraard nooit plaats gevonden had, idiote URL enz., -- óf kwaadwillend: "Het ziet er raar uit maar wat kan mij dat schelen, ze zoeken het maar uit, het is niet mijn verantwoordelijkheid". Tegen dat laatste helpt geen enkele "awareness" training.
Universitaire netwerken zijn vaak een allegaartje. Onderzoekers die geld meebrengen eisen van alles en nog wat. Krijgen ze dat niet, dan nemen ze hun geld mee naar een andere instelling die niet zo moeilijk doet. Dat is lastig beheren.
Door Erik van Straten:
Wellicht kan iemand hier mij uitleggen waarom een universiteit, voor zover ik weet slechts voor administratieve doeleinden, 287 Windows servers zou moeten hebben?
Het zijn er waarschijnlijk nog wel meer. Er waren er 287 geïnfecteerd, er draaide er iets meer van 1600.Wellicht kan iemand hier mij uitleggen waarom een universiteit, voor zover ik weet slechts voor administratieve doeleinden, 287 Windows servers zou moeten hebben?
06-02-2020, 21:36 door
gbrugman
Hoe kan een aanvaller twee maanden ongezien op het netwerk bewegen en zelfs domeinbeheerders rechten verkrijgen zonder opgemerkt te worden? Een goed ingericht Siem zou dit toch moeten signaleren?
06-02-2020, 22:02 door
Joep Lunaar
Door Anoniem: Waarom lees ik nergens dat Universiteit Maastricht alle verantwoordelijk ontslagen heeft en die 197k terugvordert bij de verantwoordelijke foute-linkjes-klikker?
Vergeldingsdrang is geen probaat middel om ongelukken als deze te voorkomen. Bovendien, "if there’s any way they can do it wrong, they will" (Murphy), impliceert dat preventie op een andere wijze in elkaar moet steken dan dreiging van ontslag om doelmatig te zijn. Bijvoorbeeld, aanhakend bij een gebruikte kwetsbaarheid bij de aanval op de systemen van de UM, dat een macro in een rekenvel iets (malware) kan installeren is een gospe. Wijziging van de functionaliteit/configuratie van een systeem moet te allen tijde een privilege zijn waarover gewone stervelingen, de gebruikers, niet beschikken.
Als je al schuldigen aan wil wijzen, dan zijn wij dat allen, omdat wij meegaand zijn, omdat we accepteren dat onze universiteiten, onze overheden, onze bedrijven, onze huishoudens, gebruik maken van troep. Wij, ja, wij allen, zouden beter moeten weten. Dus bespaar ons het wijzen naar een paar beheerders die ook maar brave jongens zijn die waarschijnlijk hardstikke hun best doen (behalve dan dat ook zij ...).
06-02-2020, 22:14 door
karma4
Door Erik van Straten: Natuurlijk is het een blunder dat er nog draaiende Windows 2003 R2 servers aan het netwerk hingen
....
Wellicht kan iemand hier mij uitleggen waarom een universiteit, voor zover ik weet slechts voor administratieve doeleinden, 287 Windows servers zou moeten hebben?
Zie ook mijn argumenten in https://security.nl/posting/642671.
De lijst met zaken die niet goed bleken te zitten is een vrij gangbaar gebruik. Target Maersk en bij vele anderen zag je vrijwel hetzelfde.....
Wellicht kan iemand hier mij uitleggen waarom een universiteit, voor zover ik weet slechts voor administratieve doeleinden, 287 Windows servers zou moeten hebben?
Zie ook mijn argumenten in https://security.nl/posting/642671.
De fox-it man weet dat ook, hij zei niet voor niets dat het iedereen had kunnen gebeuren. Wees blij met de openheid van het UM verhaal.
De hoeveelheid servers 287 voor administatieve werkzaamheden is makkelijk te verklaren, net zoals 600 linux servers.
Er zullen vast ssh keys bij beheerders in bekende locaties gestaan hebben. Er zijn er maar 2 persoonlijke beheerderaccounts geraakt.
Ja het is gangbaar dat er met een domain admin account voor dagelijks werk acties uitgevoerd worden. Nee dat is beslist niet veilig
Er is de laatste jaren gepropageerd dat elke applicatie elke unit zijn eigen server moet hebben. Het zou onderhoudsconflicten voorkomen en de performance ten goede komen. De verhoudingen in aantal servers op mensen zag ik naar 1 server op 5 personen en zelfs lager gaan. 4000 werknemers dan praat je over 200+ servers.
Met de studenten er bij praat je ovsr 18.000 personen. De ict is niet enkel um als opleingsinstiuut. Meerdere locaties en diensten zijn genoemd. Zelfs servers in extern beheer en wel in het interne ad domein. 1000 server machines, ik kijk er niet van op.
Je zou het aantal servers kunnen tsrugbrengen door multi tenancy in te gaan zetten. Vertaald is dat terug gaan naar de mainframe aanpak.
06-02-2020, 22:19 door
Joep Lunaar
Door Erik van Straten: ...Erger, de gratis patch MS17-010 was niet geïnstalleerd en, ...
De toevoeging van het woord "gratis" suggereert dat er dus geen beletsel was voor installatie. Dit "frame" verlegt de aandacht naar een financiële, en dat lijkt mij niet juist. Probleem in het MS Windows "ecosysteem" is dat het up-to-date houden van systemen (te) veel complicaties kent waardoor, in het algemeen, updates niet zondermeer worden uitgerold en, tja, dan gaan dingen fout.Door Anoniem:
Als je daar je updates niet bij installeert ben je net zo goed kwetsbaar.
https://www.cvedetails.com/vulnerability-list/vendor_id-97/Openbsd.html
Waar, maar: onder OpenBSD (of een goede Linux) is het up-to-date houden van je systemen heel wat eenvoudiger, én robuuster. Dat is echt zo.Door donderslag: Zucht. OpenBSD gebruiken, jongens!
Als je daar je updates niet bij installeert ben je net zo goed kwetsbaar.
https://www.cvedetails.com/vulnerability-list/vendor_id-97/Openbsd.html
06-02-2020, 22:33 door
Joep Lunaar
Door Anoniem:
ja dan krijg je systeembeheerders die dan OpenBSD gebruiken en nooit gaan patchen...daar wordt de wereld beter van.
Deze bewering miskent het belang van de cultuur, het is misschien wel denkbaar, maar in de OpenBSD (*NIX) cultuur is dat niet gewoon, uitzonderlijk beter gezegd.Door donderslag: Zucht. OpenBSD gebruiken, jongens!
ja dan krijg je systeembeheerders die dan OpenBSD gebruiken en nooit gaan patchen...daar wordt de wereld beter van.
Door Anoniem: ...
Is een vrij standaard tiering model, basis inrichting waarop het misgegaan in. Bij juiste implementatie had dit juist een hoop ellende kunnen voorkomen. Je domain controllers hadden dan namelijk geïnfecteerd kunnen worden. En met juiste verdere afscherming hadden je backups ook beschermd geweest bij dedicated accounts.
Zeker icm juiste firewalling.
Klinkt leuk, maar het zegt weinig. Maak het concreet, vooral hoe de backup van data op geïnfecteerde systemen verschoont kan blijven van vernielde data. De meeste back-up systemen zal het immers ontgaan dat de data die wordt bewaard versleuteld is.Is een vrij standaard tiering model, basis inrichting waarop het misgegaan in. Bij juiste implementatie had dit juist een hoop ellende kunnen voorkomen. Je domain controllers hadden dan namelijk geïnfecteerd kunnen worden. En met juiste verdere afscherming hadden je backups ook beschermd geweest bij dedicated accounts.
Zeker icm juiste firewalling.
06-02-2020, 22:56 door
Joep Lunaar
Door Anoniem:
Dat noemen ze "provisioning" en daar gaat het gierend fout. De handreikingen van Microsoft voor bijvoorbeeld een Dynamics (CRM) opzetje tendeert zomaar een servertje of vier (ik ben te lui om hier een bron voor te zoeken, excusez). De ingehuurde specialisten (vanaf 150/uur) volgen dat braaf zonder al te kritisch te zijn en wijzen naar de handreiking. Dat Microsoft op meer licenties ook meer verdient zal wel een rol spelen.Door Erik van Straten:
Wellicht kan iemand hier mij uitleggen waarom een universiteit, voor zover ik weet slechts voor administratieve doeleinden, 287 Windows servers zou moeten hebben?
Het zijn er waarschijnlijk nog wel meer. Er waren er 287 geïnfecteerd, er draaide er iets meer van 1600.Wellicht kan iemand hier mij uitleggen waarom een universiteit, voor zover ik weet slechts voor administratieve doeleinden, 287 Windows servers zou moeten hebben?
06-02-2020, 23:01 door
Joep Lunaar
Door karma4: ... De lijst met zaken die niet goed bleken te zitten is een vrij gangbaar gebruik. Target Maersk en bij vele anderen zag je vrijwel hetzelfde.
De fox-it man weet dat ook, hij zei niet voor niets dat het iedereen had kunnen gebeuren. Wees blij met de openheid van het UM verhaal.
Volstrekt juist.De fox-it man weet dat ook, hij zei niet voor niets dat het iedereen had kunnen gebeuren. Wees blij met de openheid van het UM verhaal.
Door Joep Lunaar:
Door Erik van Straten: ...Erger, de gratis patch MS17-010 was niet geïnstalleerd en, ...
De toevoeging van het woord "gratis" suggereert dat er dus geen beletsel was voor installatie. Dit "frame" verlegt de aandacht naar een financiële, en dat lijkt mij niet juist. Probleem in het MS Windows "ecosysteem" is dat het up-to-date houden van systemen (te) veel complicaties kent waardoor, in het algemeen, updates niet zondermeer worden uitgerold en, tja, dan gaan dingen fout.Exact! (a) Traag update mechanisme; (b) rebootfetish; (c) patchdinsdag (d) problemen met de kwaliteit v.d. updates omdat bij het oplossen van het ene probleem er andere ontstaan (spaghetticodebouwwerk).
Software voor lichte consumententoepassingen in professionele toepassingen gebruiken gaat maar tot op zekere hoogte goed.
Hoog Intelligent dus daar bij die Universiteit. Duh !
wat een kennis economie .
wat een kennis economie .
Ik heb het rapport van Fox gelezen en er is idd een hele hoop fout gegaan. Wat me verbaasd is dat zelfs de basis beginselen van een veilige werk omgeving niet zijn uitgevoerd. Ofschoon IT wellicht niet altijd de steun krijgt die het verdiend kan het zeker, zonder die steun, zaken vanuit de basis goed aanpakken. Hardening van servers is daar toch wel een hele belangrijke in. Met weinig inspanning kun je kant en klare scripts ophalen en deze aanpassen op de eigen situatie. Oude en kwetsbare servers kun je in een apart segment onderbrengen, allemaal zonder de steun van het management. Gebruikersmanagement, en dan met name het gebruik van de hogere rechten accounts, is ook een basic maatregel die genomen moet worden om grip te houden. Maar beveiliging is, in tegenstelling tot wat veel denken, niet alleen een technisch feestje maar daar zit ook een belangrijk stuk organisatie in. En daar gaat het veelal mis, te weinig of geen awareness, geen of onvolledige procedures, noem het maar op. Mijns inziens is Maastricht een blauwdruk van hoe het bij veel organisaties is gesteld want bij veel organisaties wordt beveiliging nog steeds als een IT ding gezien. En daar heb je een CISO voor die zich, vanuit diens strategische rol, een organisatie voor een dergelijke foute aanpak voor moet behoeden. Maar als ik kijk naar het niveau van veel CISO's dan is het maar de vraag of ze zich dat beseffen, even de goede daar buiten gelaten.
Het is nu wachten op de volgende lichting aan slachtoffers nu malware bakkers hun exploits steeds intelligenter aan het bouwen zijn en de zwakke plekken in Windows systemen en software alleen maar lijken toe te nemen.
Het is nu wachten op de volgende lichting aan slachtoffers nu malware bakkers hun exploits steeds intelligenter aan het bouwen zijn en de zwakke plekken in Windows systemen en software alleen maar lijken toe te nemen.
Door donderslag: Zucht. OpenBSD gebruiken, jongens!
https://securityboulevard.com/2020/01/qualys-reveals-critical-openbsd-mail-server-security-flaw/
Ik als privee gebruiker van PCs kan natuurlijk niet op tegen de overweldigende expertise van al de reaguurders hier. Maar toch, zou het niet eens verstandig zijn om een aantal dingen te scheiden en lokaal "off-line" te houden zodat men er van buitenaf niet (of niet zondermeer) bij kan? Het is wel ongemakkelijk maar het voorkomt veel ellende. Moet alles 24 uur per dag, 365 dagen per jaar online beschikbaar zijn en dat vanuit de hele wereld? En moeten Back Ups ook niet physiek separaat zijn opgeslagen?
Zal wel een minachtende opmerking losmaken van de "beterweters" die als het erop aankomt weinig bijdragen
Zal wel een minachtende opmerking losmaken van de "beterweters" die als het erop aankomt weinig bijdragen
Door Anoniem: Oude en kwetsbare servers kun je in een apart segment onderbrengen, allemaal zonder de steun van het management.
Het zou best kunnen dat ze niet wisten dat er nog een 2003 server stond. Anders ben ik wel benieuwd waarom deze nog nodig was. Geen monocultuur is het allerbeste. Geen enkele van de 600 Linuxservers was geïnfecteerd.
07-02-2020, 10:42 door
souplost
Door DLans: Dus de eindconclusie is eigenlijk dat het een stel prutsers waren. Ja je kan weer een Windows vs Linux oorlog starten, maar het feit is gewoon dat de systeembeheerders hier tegen hun eigen beleid in zelfs gewoon zaken verkeerd deden. Sukkels.
Standaard verhaal. Als er iets mis gaat in de Windowsomgeving ligt het aan de beheerders. Nooit aan de managers of de software. het zelfde team wist die paar honderd Linux servers buitenschot te houden.Microsoft System Center had 2003 over het hoofd gezien :)
07-02-2020, 12:43 door
yobi
Universiteit Maastricht en Fox-IT bedankt voor het complete verhaal. Leerzaam voor veel organisaties!
Inderdaad belangrijk om geen afreken cultuur te introduceren, maar een open cultuur te behouden. Als mensen durven uit te spreken dat ze iets onverstandigs hebben gedaan, dan kan een organisatie veel eerder ingrijpen.
Ik zou alle wachtwoorden van de gebruikers als gecompromiteerd beschouwen. Indien mensen een wachtwoord ook privé gebruiken, dan zou ik dat ook wijzigen.
Vooraf de risico's in kaart brengen en over schade beperkende maatregelen nadenken zijn belangrijke adviezen. Een goed en helder verhaal.
Inderdaad belangrijk om geen afreken cultuur te introduceren, maar een open cultuur te behouden. Als mensen durven uit te spreken dat ze iets onverstandigs hebben gedaan, dan kan een organisatie veel eerder ingrijpen.
Ik zou alle wachtwoorden van de gebruikers als gecompromiteerd beschouwen. Indien mensen een wachtwoord ook privé gebruiken, dan zou ik dat ook wijzigen.
Vooraf de risico's in kaart brengen en over schade beperkende maatregelen nadenken zijn belangrijke adviezen. Een goed en helder verhaal.
Door yobi: Universiteit Maastricht en Fox-IT bedankt voor het complete verhaal. Leerzaam voor veel organisaties!
Inderdaad belangrijk om geen afreken cultuur te introduceren, maar een open cultuur te behouden. Als mensen durven uit te spreken dat ze iets onverstandigs hebben gedaan, dan kan een organisatie veel eerder ingrijpen.
Ik zou alle wachtwoorden van de gebruikers als gecompromiteerd beschouwen. Indien mensen een wachtwoord ook privé gebruiken, dan zou ik dat ook wijzigen.
Vooraf de risico's in kaart brengen en over schade beperkende maatregelen nadenken zijn belangrijke adviezen. Een goed en helder verhaal.
Eens! IT'ers daar afzeiken heeft geen enkele zin als je de feiten niet kent. Wel vind ik dat het management zich verschuilt onder een grote slachtoffer paraplu.Inderdaad belangrijk om geen afreken cultuur te introduceren, maar een open cultuur te behouden. Als mensen durven uit te spreken dat ze iets onverstandigs hebben gedaan, dan kan een organisatie veel eerder ingrijpen.
Ik zou alle wachtwoorden van de gebruikers als gecompromiteerd beschouwen. Indien mensen een wachtwoord ook privé gebruiken, dan zou ik dat ook wijzigen.
Vooraf de risico's in kaart brengen en over schade beperkende maatregelen nadenken zijn belangrijke adviezen. Een goed en helder verhaal.
Daarnaast is er nog helemaal niet aangetoond hoe de hacker Domain Administrator kon worden!
Alleen maar een speculatie.
Door Anoniem: Ik als privee gebruiker van PCs kan natuurlijk niet op tegen de overweldigende expertise van al de reaguurders hier.
Laat je niet intimideren. Gewoon het gezonde verstand blijven gebruiken. Dan zul je ontdekken dat sommige van die experts het hier soms ook niet beter weten, want vooringenomen zijn en fouten maken is menselijk.
Maar toch, zou het niet eens verstandig zijn om een aantal dingen te scheiden en lokaal "off-line" te houden zodat men er van buitenaf niet (of niet zondermeer) bij kan?
Ja, dat zou inderdaad heel verstandig zijn geweest. Technici noemen dat netwerk segmentering of, in het meest extreme geval, air gapping (kritieke onderdelen geheel afsluiten van het inter- en intranet). Dat is nog verre van eenvoudig.
Het is wel ongemakkelijk maar het voorkomt veel ellende. Moet alles 24 uur per dag, 365 dagen per jaar online beschikbaar zijn en dat vanuit de hele wereld?
Soms is dat niet anders, maar dan moet men het veiligheids- en reservekopie beleid wel zodanig uitvoeren alsof het een militaire operatie betreft. Want met de kleinste fout is men zo de klos. Dan is het jouw zaak of baan die op het spel staat.
En moeten Back Ups ook niet physiek separaat zijn opgeslagen? Zal wel een minachtende opmerking losmaken van de "beterweters" die als het erop aankomt weinig bijdragen
Werken in de ICT beveiliging is niet eenvoudig. Er valt uit frustratie wel eens een ruw woord. Sommigen blijven steken in oeverloze wellus niettus discussies, over wat nu "het beste" zou zijn. Daar kun je je beter gewoon niets van aantrekken.
09-02-2020, 07:45 door
The FOSS
Door Anoniem: Ik als privee gebruiker van PCs kan natuurlijk niet op tegen de overweldigende expertise van al de reaguurders hier. Maar toch, zou het niet eens verstandig zijn om een aantal dingen te scheiden en lokaal "off-line" te houden zodat men er van buitenaf niet (of niet zondermeer) bij kan? Het is wel ongemakkelijk maar het voorkomt veel ellende. Moet alles 24 uur per dag, 365 dagen per jaar online beschikbaar zijn en dat vanuit de hele wereld? En moeten Back Ups ook niet physiek separaat zijn opgeslagen?
Zal wel een minachtende opmerking losmaken van de "beterweters" die als het erop aankomt weinig bijdragen
Zal wel een minachtende opmerking losmaken van de "beterweters" die als het erop aankomt weinig bijdragen
Nee hoor, je slaat met gewoon logisch nadenken de spijker op de kop!
Door The FOSS:
Nee hoor, je slaat met gewoon logisch nadenken de spijker op de kop!
Door Anoniem: Ik als privee gebruiker van PCs kan natuurlijk niet op tegen de overweldigende expertise van al de reaguurders hier. Maar toch, zou het niet eens verstandig zijn om een aantal dingen te scheiden en lokaal "off-line" te houden zodat men er van buitenaf niet (of niet zondermeer) bij kan? Het is wel ongemakkelijk maar het voorkomt veel ellende. Moet alles 24 uur per dag, 365 dagen per jaar online beschikbaar zijn en dat vanuit de hele wereld? En moeten Back Ups ook niet physiek separaat zijn opgeslagen?
Zal wel een minachtende opmerking losmaken van de "beterweters" die als het erop aankomt weinig bijdragen
Zal wel een minachtende opmerking losmaken van de "beterweters" die als het erop aankomt weinig bijdragen
Nee hoor, je slaat met gewoon logisch nadenken de spijker op de kop!
yep die digidrang heeft zo zijn nadelen en vaak gaat het verstand uit bij mensen zodra het over kompjoeters gaat.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?