image

CISA: SolarWinds-aanvallers kwamen mogelijk ook via zwakke wachtwoorden binnen

maandag 11 januari 2021, 09:54 door Redactie, 5 reacties

De aanvallers achter de wereldwijde supply-chain-aanval via de software van SolarWinds hebben mogelijk ook zwakke wachtwoorden gebruikt om toegang tot de systemen van slachtoffers te krijgen. Dat stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het CISA liet eerder al weten dat de aanvallers, naaste besmette SolarWinds-updates, andere aanvalsmethodes gebruikten om slachtoffers te compromitteren.

Het gaat dan mogelijk om het raden van wachtwoorden, bijvoorbeeld door middel van een bruteforce-aanval, password spraying en misbruik van slechte beveiligde beheerderswachtwoorden, aldus het CISA in een nieuwe waarschuwing over de aanval. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen probeert een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt.

De overheidsinstantie onderzoekt verschillende gevallen waarbij deze aanvalsmethodes mogelijk zijn toegepast. Het daadwerkelijke gebruik is echter nog niet bevestigd. Het CISA stelt dat ongeacht de gebruikte aanvalsmethode de aanvallers het hadden voorzien op de Microsoft-cloudomgevingen van slachtoffers. Hiervoor maakten ze gebruik van vervalste authenticatietokens en gebruikten ze aanvullende inloggegevens en API's om de cloudomgeving permanent te kunnen benaderen.

De overheidsinstantie heeft nu op GitHub een detectietool genaamd Sparrow beschikbaar gemaakt waarmee organisaties gecompromitteerde Microsoft Azure Active Directory (AD)-, Office 365 (O365)-,en Microsoft 365-omgevingen kunnen detecteren. Ook geeft de overheidsinstantie aanvullende informatie over de werkwijze van de aanvallers binnen deze cloudomgevingen.

Reacties (5)
11-01-2021, 10:50 door Anoniem
Tja, dit is moeilijk te weerleggen weer. Je kunt bij elke breach wel zeggen het waren waarschijnlijk gebruikers die zwakke wachtwoorden hadden en die stelling is dan moeilijk te weerleggen en als zodanig wordt dit wel eens ter 'smoes' gebracht om de werkelijke mankementen niet aan te pakken ivm kosten of gezigtsverlies etc. etc. etc. weer een andere vector is dit verhaal kan de client side machines geweest zijn: de windows machine van een beheerder is gepowned geraakt door een drive-by of een foutloek mail die een lokale exploit mogelijk maakte. laten we eerlijk zijn, de laatste jaren hebben we genoeg voorbeelden hiervan gehad van patches die zero-days op dat systeem dicht hebben moeten zetten. er zullen er nog flink wat in zitten dan puur statistisch gezien. mijn point is niet windows afzeiken, maar dat het koffie dik kijken is allemaal vwb de topic van het articel als er meer gaten dan in nene vergiet in de keten zitten. zwakke wachtwoorden die gebrute forced zijn, daarbij verwacht je dan dat er extra inlog pogingen gezien zijn weer. en als daar niet naar gekeken is / voor gemonitord wordt, tja dan heb ik mijn punt gemaakt eigenlijk.
11-01-2021, 13:30 door Anoniem
Dat is nogal wiedes. Als men binnen is zal men een voorzichtige brute force attack uitvoeren op accounts om met Local Privilege Escalation verder te stoten.
11-01-2021, 16:18 door Eric-Jan H te D
Artikel zou van mij de titel mogen krijgen: "Instanties maken gebruik van zwakke wachtwoorden" Wie of wat er daarna binnendringt maakt dan niet zoveel meer uit.
11-01-2021, 22:07 door Anoniem
Door Anoniem: Dat is nogal wiedes. Als men binnen is zal men een voorzichtige brute force attack uitvoeren op accounts om met Local Privilege Escalation verder te stoten.

Local Privilege Escalation kan via de CPU-registers, geen brute force nodig.

Zie presentatie van Christopher Domas.
12-01-2021, 13:23 door Anoniem
Had dit niet voorkomen kunnen worden met 2FA?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.