image

Microsoft: inbraak bij multinational via zwak wachtwoord

dinsdag 10 maart 2020, 09:59 door Redactie, 11 reacties

Geregeld wordt gesteld dat kleine bedrijven hun digitale beveiliging niet op orde hebben, maar ook bij multinationals gaat het soms goed mis, zo stelt Microsoft. Het techbedrijf was betrokken bij het onderzoek naar een aanval op een grote, niet nader genoemde internationale onderneming.

Uit het onderzoek bleek dat er binnen de onderneming verschillende fouten waren gemaakt waardoor de aanvallers toegang hadden gekregen. De aanval begon met een "password spraying" aanval waarbij het Office 365-account van een beheerder werd gecompromitteerd. Bij password spraying gebruiken aanvallers veelgebruikte wachtwoorden om op een account in te loggen.

Volgens Microsoft had het gebruik van multifactorauthenticatie kunnen voorkomen dat aanvallers op het account konden inloggen, aangezien alleen een wachtwoord dan niet voldoende is. Met de beheerderstoegang zochten de aanvallers in allerlei andere mailboxen naar wachtwoorden die via e-mail tussen het bedrijf en diens klanten waren uitgewisseld.

De aanvallers, die al 243 dagen in het bedrijfsnetwerk actief waren, hadden het specifiek voorzien op intellectueel eigendom. Tijdens het onderzoek naar deze aanval ontdekte Microsoft ook nog vijf andere aanvallers die het bedrijf eerder hadden gecompromitteerd. Microsoft stelt dat bedrijven dergelijke aanvallen kunnen voorkomen door het gebruik van multifactorauthenticatie, het aanpakken van legacy protocollen, het verzamelen en analyseren van logbestanden, het trainen van personeel om aanvallen te herkennen en bewust te zijn dat aanvallers ook legitieme tools voor hun aanvallen kunnen gebruiken.

Image

Reacties (11)
10-03-2020, 11:20 door Anoniem
Tja Office 365 heeft gewoon auditing tools waarmee je kan zien wat men uitspookt. Het is niet erg om je eigen beheerders eens een keer te controleren. Niet omdat je ze niet vertrouwt, maar vanwege dit soort zaken.
10-03-2020, 11:48 door Anoniem
1 optie laten ze weg. Het was ook voorkomen door in dit geval een password generator te gebruiken. Dan had dat password spraying totaal niet gewerkt.
10-03-2020, 12:49 door souplost - Bijgewerkt: 10-03-2020, 12:50
Microsoft probeert de aandacht de verleggen. Het grootste probleem is een unattended drive-by download. Zo'n beetje elke infectie begint hiermee. Laten ze dat eerst onmogelijk maken en natuurlijk het updatemechanisme fixen . Of te wel hand in eigen boezem steken want het ligt niet aan de gebruikers.
10-03-2020, 12:52 door Anoniem
Door Anoniem: 1 optie laten ze weg. Het was ook voorkomen door in dit geval een password generator te gebruiken. Dan had dat password spraying totaal niet gewerkt.
Ik zou eerder voor MFA gaan. Lost meer problemen direct op.

Als ik namelijk een een wachtwoord "ED]\qT2j9P>{@3fQ" moet intypen om in te loggen op mijn Windows machine en by iedere unlock van mij werkstation. Dan ga ik niet blij worden.

Bij sommige bedrijven is mijn wachtwoord ook minimaal 12 tekens en moet ik deze iedere 30 dagen veranderen.

Geef mij dan maar MFA.
10-03-2020, 13:28 door Anoniem
Waarom moet het e-mail adres ook de gebruikersnaam zijn.
Meeste bedrijven hebben de e-mail adressen van medewerkers op hun website.
Stap 1 gebruikersnaam is dus makkelijk.
Die stap haal je m.i. weg door een andere inlognaam te moeten gebruiken.
10-03-2020, 13:41 door Anoniem
Door Anoniem:
Door Anoniem: 1 optie laten ze weg. Het was ook voorkomen door in dit geval een password generator te gebruiken. Dan had dat password spraying totaal niet gewerkt.
Ik zou eerder voor MFA gaan. Lost meer problemen direct op.

Als ik namelijk een een wachtwoord "ED]\qT2j9P>{@3fQ" moet intypen om in te loggen op mijn Windows machine en by iedere unlock van mij werkstation. Dan ga ik niet blij worden.

Bij sommige bedrijven is mijn wachtwoord ook minimaal 12 tekens en moet ik deze iedere 30 dagen veranderen.

Geef mij dan maar MFA.

jij bent veel te optimistisch over de zinnigheid van organisaties. als dingen MFA worden bij een gemiddelde organisatie, dan is het niet alleen een 2e factor die erbij komt; maar zal je waarschijnlijk nog steeds net zo hard een vervelend WW daarbij moeten gaan gebruiken!
10-03-2020, 14:49 door Anoniem
Door Anoniem: Waarom moet het e-mail adres ook de gebruikersnaam zijn.
Meeste bedrijven hebben de e-mail adressen van medewerkers op hun website.
Stap 1 gebruikersnaam is dus makkelijk.
Die stap haal je m.i. weg door een andere inlognaam te moeten gebruiken.
Dat is security by obscurity en symptoom bestrijding. Dan krijg je dus allerleid Post-Its met het echte login account. Investeer gewoon in goede beveiliing met MFA, hardware tokens (passwordless!), automatische threat en identity protection etc. etc. afhankelijk van het risico profiel.
10-03-2020, 17:15 door karma4
Door Anoniem: Tja Office 365 heeft gewoon auditing tools waarmee je kan zien wat men uitspookt. Het is niet erg om je eigen beheerders eens een keer te controleren. Niet omdat je ze niet vertrouwt, maar vanwege dit soort zaken.
Onderbouwing? Want net door Erik van Straaten wat nagelopen en van alles is daarvoor beschikbaar,
Niet op de ouderwetse manier van spy-software op eigen apparatuur installeren maar als dienst af te nemen.
10-03-2020, 17:50 door Tintin and Milou
Door souplost: Microsoft probeert de aandacht de verleggen. Het grootste probleem is een unattended drive-by download. Zo'n beetje elke infectie begint hiermee. Laten ze dat eerst onmogelijk maken en natuurlijk het updatemechanisme fixen . Of te wel hand in eigen boezem steken want het ligt niet aan de gebruikers.
Heeft natuurlijk helemaal niets met dit artikel te maken en dus geen enkele toevoeging. Maar we hebben het hier over "souplost" en deze opmerking was te verwachten.
Sommige zien nu eenmaal meteen een rode vlag bij alles van Microsoft en duiken er altijd direct op. Zie hier een prachtig voorbeeld ervan.

Trouwens dienst waarbij het misbruikt gedaan was, is ook een web-based variant, dus browser en OS onafhankelijk. Dus is ook platform afhankelijk. Nu werkt Office 365 cliënt wel het beste met Windows, maar er is ook een Mac cliënt (al werkt die wel iets anders). Dus een drive by download zoals je er bij haalt, heeft hier niets mee te maken.

Door Anoniem: Waarom moet het e-mail adres ook de gebruikersnaam zijn.
Meeste bedrijven hebben de e-mail adressen van medewerkers op hun website.
Stap 1 gebruikersnaam is dus makkelijk.
Die stap haal je m.i. weg door een andere inlognaam te moeten gebruiken.
Lost niet zoveel op, maar kan technisch wel.
Maar hoe meer iemand moet onthouden, hoe complexer het is/wordt. SSO maakt het juist allemaal een stuk veiliger.
Tegenwoordig gebruikt men juist dit soort centrale / cloud diensten tegen een centrale authenticatie bron via bijvoorbeeld SAML. Het domain is dan juist de identifier naar welke tenant of organisatie de authenticatie gaat. @mijndomain.nl is dus van groot belang en moet uniek zijn in de omgevingen.

Nu kan het natuurlijk zijn, dat mijn email adres: pietje.puk@mijndomain.nl is, maar mijn inlognaam is 964532@mijndomain.nl. Maar dit is een erg gebruikers onvriendelijke manier van werken, maar technisch kan dit wel.

Door Anoniem:
jij bent veel te optimistisch over de zinnigheid van organisaties. als dingen MFA worden bij een gemiddelde organisatie, dan is het niet alleen een 2e factor die erbij komt; maar zal je waarschijnlijk nog steeds net zo hard een vervelend WW daarbij moeten gaan gebruiken!
Ik ben het er juist wel mee eens. MFA is vaak alleen voor untrusted (bijvoorbeeld untrusted locaties) noodzakelijk, bijvoorbeeld thuis werken. Een goede MFA oplossing is voor het interne netwerk vaak niet noodzakelijk, dus voor de meeste gebruikers niet dagelijks nodig. Tenzij je bijvoorbeeld tijdelijk meer rechten nodig hebt om je werkzaamheden te doen.

Een vervelend wachtwoord, zoals aangegeven, is gewoon onwerkbaar voor een gebruiker (of admin). Als ik het gebruikte wachtwoord 20-30 keer per dag zou moeten gebruikenm draagvlak meteen door de toilet heen..... Dan wordt ik daar niet vrolijk van, gebruikers helemaal niet. Die zullen dan juist een 2020-03 toevoeging doen op hun wachtwoord. Je mag raden wat het wachtwoord dan volgende maand is.

Dit is juist ook 1 van de redenen waarom oa Microsoft Passwordless inloggen zo aan het promoten is met bijvoorbeeld Windows HELLO.
Je moet je initieel inloggen met je UserID/Wachtwoord en een MFA, en daarna configureer je een PIN Code voor dat device om je zelf aan te melden. Je hebt op dat device dus eigenlijk nooit meer je wachtwoord nodig, aangezien je credentials met de PIN unlocked worden. Een PIN code is veel gemakkelijker te onthouden, en maar is vooral device based. Dus al hebben ze je PIN code, dan kunnen ze er alleen iets mee, op dat device. Dan icm SSO op Azure AD (al dan niet met MFA), en je hebt geen wachtwoord meer nodig op je device.
11-03-2020, 22:46 door Anoniem
Daarom gebruik ik bitwarden. Klinkt onveilig, maar het werkt wel.
12-03-2020, 15:14 door Anoniem
Door Anoniem: Daarom gebruik ik bitwarden. Klinkt onveilig, maar het werkt wel.
Werkt dit ook als ik 20 keer mijn desktop moet unlocken per dag?

Helpt bitwarden mij ook hiermee? Ik zie namelijk nog niet hoe dit "werkt" tegen het misbruikte probleem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.