Gestolen Microsoft key bood aanvallers toegang tot veel meer clouddiensten
Een gestolen signing key van Microsoft, waarmee aanvallers toegang kregen tot de e-mails van overheden en andere klanten die van Outlook.com en Exchange Online gebruikmaken, bood toegang tot veel meer clouddiensten van het techbedrijf en partners, zo stelt securitybedrijf Wiz. Het gaat om verschillende Azure Active Directory applicaties, waaronder die authenticatie via een persoonlijk account ondersteunen, zoals SharePoint, Teams, OneDrive en applicaties van derde partijen waar gebruikers door middel van "login met Microsoft" kunnen inloggen, alsmede "multi-tenant applicaties" in bepaalde situaties.
De gestolen signing key maakte het mogelijk voor aanvallers om tokens te vervalsen waarmee er toegang tot accounts kon worden gekregen die bij Outlook.com en Exchange Online worden gehost, aldus Microsoft. Het techbedrijf heeft nog altijd niet bekendgemaakt hoe de signing key kon worden gestolen. Daarnaast zouden er twee kwetsbaarheden in het proces voor het verifiëren van tokens zijn misbruikt, maar ook hierover zijn nog geen details verschenen.
Volgens Wiz is de impact veel groter dan Microsoft doet voorkomen, omdat de gestolen signing key toegang tot veel meer diensten bood. Organisaties zouden daarom misbruik van de gestolen key in hun omgeving moeten controleren. "We denken dat de gestolen key een private key was bedoeld voor Microsofts MSA tenant in Azure, en ook OpenID v2.0 tokens voor meerdere soorten Azure Active Directory applicaties kon signeren", aldus het securitybedrijf.
"De signing keys van een identiteitsprovider zijn waarschijnlijk de krachtigste geheimen in de moderne wereld", stelt onderzoeker Shir Tamari. "Met de keys van een identiteitsprovider kan er meteen toegang tot alles worden verkregen, elke mailbox, bestandsdienst of cloudaccount." Tamari vermoedt dat de aanval gevolgen zal hebben voor het vertrouwen in de cloud en de volledige omvang van het incident lastig te bepalen is, aangezien miljoenen applicaties risico liepen.
Het gaat zowel om Microsofts eigen apps als die van klanten en de meeste daarvan hebben onvoldoende logging om te bepalen of ze zijn gecompromitteerd, aldus de onderzoeker. Afsluitend bedankt Tamari Microsoft, dat meewerkte aan de analyse van het securitybedrijf om te controleren dat alles klopte.
grote winsten.
MKB klanten nemen het goedkoopste abonnement af en nemen echt geen contract voor onderhoud af, zeker niet als ze zelf de creditcard getrokken hebben voor het abonnement.
Ik heb nog nooit zoveel werk gehad aan alle problemen rondom Office 365 en als ik dat vertel haalt iedereen zijn schouders op. Er zijn er zelfs die niet geïnteresseerd zijn in een back-up faciliteit want het gaat toch nooit mis in de Cloud bij Microsoft en dat kost alleen maar extra geld?
Men wil gewoon niet snappen dat het anders moet maar het onbegrip blijft totdat het een keer verkeerd gaat en dan zijn de spreekwoordelijke rapen gaar.
Dat staat haaks op de bewering hierboven.
Dat staat haaks op de bewering hierboven.
Vroeger met je usernaam en password wist je nog dat dat de belangrijke informatie was, maar nu zijn er allerlei componenten bij betrokken waarvan je niet eens wist dat ze bestonden, laat staan dat de diefstal er van invloed heeft op de veiligheid van persoonlijke informatie.
Echt hoor, als ik hoor "app signing key" dan denk ik aan iets wat voor het OS mogelijk maakt om te checken of dat de app die ik op mijn machine heb wel van de leverancier af komt, niet aan iets waarmee je e-mail accounts kunt leeglepelen.
Dus daar is kennelijk iets gemaakt wat te complex is om te begrijpen. Uitfaseren, zou ik zeggen.
De Sabra met de ervaring. Ze zitten niet alleen bij MS binnen.
Goede week allemaal,
Dat staat haaks op de bewering hierboven.
En niet te vergeten van het web er om heen, als je afhankelijk bent van software die alleen op Windows draait ben je een aan de beurt.
grote winsten.
Dat staat haaks op de bewering hierboven.
En niet te vergeten van het web er om heen, als je afhankelijk bent van software die alleen op Windows draait ben je een aan de beurt.
Jumpcloud is daar ook een mooi voorbeeld van en zo kunnen we nog wel even door gaan.
En niemand is afhankelijk van Microsoft, je kunt altijd overstappen. Of dit mogelijk is en de grote van de risico's en impact, is een heel ander verhaal.
En blijkbaar begrijp jij de invloed van hoe winst maken en het belang hier van voor de aandeelhouders niet. En
het effect hier van voor de gebruikers die hier de dupe van zijn. Lees de reactie van vandaag 12:24 maar eens
en waarop hij op reageert. En wat voor een bedrijf Google is, als je dat nog niet begrijpt dan houd het gewoon op,
trouwens mij reactie was sarcastisch bedoeld nu begrijp je waarschijnlijk ook waarom.
Uitfaseren, zou ik zeggen.
Neen, dat is het eigenlijk niet. Vroeger had men expert beheerders die wisten hoe dit werkte en waar wat voor diende.
De enige manier om dit recht te trekken is de key revoken dan pas weet je waar dit stuk gaat.
En dan weet je ook waar MS gehacked is.
Vreemd he dat een signing key is re-used, net zoals code.....trend.
Volgende week komen ze vast met een gevonden kwetsbaarheid in Macos.
grote winsten.
grote winsten.
Google heeft blijkbaar tijd en geld genoeg om hele afdelingen op te tuigen en kwetsbaarheden te zoek in producten van concurrenten inderdaad.
Ik had nog niet begrepen vanuit het internet dat alle kwestbaarheden in Android al,opgelost waren?
Volgens mij krijgen de meeste nu daadwerkelijk in gebruik zijnde Android telefoons al geen of uiterst laat en belabberd security updates binnen.
Google vindt dat de taak van een ander maar heeft ten tijd van Covid prima laten zien ineens TOCH apps of je het nou wilt of niet naar je telefoon te kunnen pushen.......
Een signing key buitmaken gaat iets verder dan het "hacken", mits goed beheerd door de sleutelbeheerders. Het zou zo maar kunnen dat deze sleutel "fysiek" is ontfutseld. Hoe dan ook, hoe de sleutel is buitgemaakt is een hoofdpijn-dosier voor de CSO. Dat nog buiten de schade aan reputatie en klantschade.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.