Cyberaanval TU Eindhoven via gestolen, hergebruikte wachtwoorden
De aanvallers die toegang wisten te krijgen tot het netwerk van de Technische Universiteit Eindhoven maakten gebruik van gestolen, hergebruikte wachtwoorden van vpn-accounts. Het was al bekend dat deze accounts eerder waren gecompromitteerd. De TU Eindhoven had de accounthouders gevraagd om hun wachtwoord te wijzigen, maar deze gebruikers hergebruikten het oude wachtwoord, wat niet automatisch werd voorkomen. Daarnaast werd voor de vpn geen multifactorauthenticatie (MFA) toegepast waardoor de aanvallers met alleen een gebruikersnaam en wachtwoord konden inloggen. Dat heeft de TU Eindhoven vandaag bekendgemaakt.
Uit onderzoek naar de aanval bleek dat de aanvallers op 6 januari voor het eerst inlogden. Vijf dagen later lukte het de aanvallers om hun rechten te verhogen. Op 12 januari probeerden de aanvallers om de back-upoplossing van de universiteit te stoppen. 25 minuten later haalde de TU Eindhoven het netwerk offline, waarmee ook de aanval werd gestopt. Voordat de aanval werd gestopt beschikte de aanvaller over enterprise administrator-rechten. Sporen van de aanvaller werden op 91 systemen aangetroffen. Op 14 systemen werden 'hands-on-keyboard' activiteiten uitgevoerd, op de overige 77 alleen ingelogd zonder verdere activiteit.
De universiteit zegt dat het de kwetsbaarheden in de eigen beveiliging waar de aanvallers misbruik van maakten inmiddels heeft aangepakt. Wie de aanvallers waren en wat hun doel was is onbekend. Vermoedelijk ging het om een ransomwaregroep. "De realiteit is dat we toch hackers binnen hadden, waardoor de universiteit een week lang stillag, met flinke gevolgen voor studenten en medewerkers. We nemen de adviezen uit de rapporten dan ook ter harte en blijven investeren in versterking van onze cybersecurity. Het blijft een wapenwedloop waarin je nooit stil kan staan", aldus TU/e-vicevoorzitter Patrick Groothuis.,/p>
Reacties (26)
Vandaag, 10:11 door
Anoniem
Vijf dagen later lukte het de aanvallers om hun rechten te verhogen.
Dit dus. Hoe dan? Dat ze konden inloggen als gebruiker zou geen probleem mogen zijn behalve voor die gebruiker.
Vandaag, 10:12 door
DanteVortex
Dan ben je natuurlijk wel een speciaal soort idioot als je gevraagd wordt om je uitgelekte wachtwoord te vervangen, en dan gebruik je gewoon hetzelfde wachtwoord.
Vandaag, 10:16 door
Anoniem
Sorry hoor, geen MFA en wachtwoorden hergebruiken, wat voor een soort ICT mensen werken daar?
Door Anoniem: Sorry hoor, geen MFA en wachtwoorden hergebruiken, wat voor een soort ICT mensen werken daar?
Mensen.
Ja er zitten zeker red-flags tussen. Maar wees eerlijk, in welke organisatie zitten die niet.
Dan ben je natuurlijk wel een speciaal soort idioot als je gevraagd wordt om je uitgelekte wachtwoord te vervangen, en dan gebruik je gewoon hetzelfde wachtwoord.
Ach sommigen doen dit nu eenmaal na een paswoord of 3-4-5-6. Je zal ze de kost moeten geven.
Vandaag, 10:37 door
Anoniem
Door DanteVortex: Dan ben je natuurlijk wel een speciaal soort idioot als je gevraagd wordt om je uitgelekte wachtwoord te vervangen, en dan gebruik je gewoon hetzelfde wachtwoord.
En dat het uberhaupt mogelijk is om hetzelfde wachtwoord te gebruiken. Met een AD policy kun je ervoor zorgen dat men de laatste 8 of 10 gebruikt wachtwoord niet opnieuw mag gebruiken.
Vandaag, 10:43 door
_R0N_
Door Anoniem: Sorry hoor, geen MFA en wachtwoorden hergebruiken, wat voor een soort ICT mensen werken daar?
Je moest eens weten hoe mensen in de IT omgaan met wachtwoorden en authenticatie in het algemeen.
Ik zat bij een meeting bij een grote groene telco en iemand vertelde over het wachtwoordbeleid dat iedereen sterke wachtwoorden moet gebruiken etc.
Toen ik zei "Dat is een mooi streven maar nieuwe medewerkers krijgen een wachtwoord als Zebra001"
Het antwoord: "Ja we gaan er vanuit dat iedereen at wijzigt naar een sterk wachtwoord"
Ik denk dat dat duidelijk genoeg is hoe de meeste bedrijven omgaan met wachtwoord policies.
Vandaag, 10:50 door
Anoniem
Door Anoniem:
Vijf dagen later lukte het de aanvallers om hun rechten te verhogen.
Dit dus. Hoe dan? Dat ze konden inloggen als gebruiker zou geen probleem mogen zijn behalve voor die gebruiker.Dat kan met bijvoorbeeld mimikatz om password hashes te gebruiken van Windows gebruikers
Vandaag, 11:03 door
Anoniem
Door _R0N_:
Je moest eens weten hoe mensen in de IT omgaan met wachtwoorden en authenticatie in het algemeen.
Door Anoniem: Sorry hoor, geen MFA en wachtwoorden hergebruiken, wat voor een soort ICT mensen werken daar?
Je moest eens weten hoe mensen in de IT omgaan met wachtwoorden en authenticatie in het algemeen.
Ik had laatst nog een CISO die beweerde enkel verantwoordelijk te zijn voor beleid, niet voor de naleving of controle daarvan.
Dit is het hele probleem met (IT) beveiliging in het algemeen. De regels en technische maatregelingen zijn er wel maar er zijn simpelweg te weinig mensen die er echt achter staan (en hun vuist op tafel slaan). Dan heb je nog de managers die zich tegen iedere verandering verzetten en een directie die het allemaal maar onzin vindt.
We zullen simpelweg nooit verbetering zien tot we deze mensen uit het vraagstuk halen. De NIS2 maakt het tenminste duidelijk dat deze prutsers nu verantwoordelijk zijn voor hun falende leiderschap. Al verwacht ik nog steeds niet dat er ooit iemand echt gestraft gaat worden. Wir haben es nicht gewußt...
Vandaag, 11:23 door
Anoniem
Ik dank de TU/e voor het beschikbaar maken van de evaluatie rapporten. Zeer leerzaam!
Vandaag, 11:34 door
Anoniem
Cyberaanval TU Eindhoven via gestolen, hergebruikte wachtwoorden
Dus via Credential Stuffing. Kijk, dat kan bij mij helemaal niet gebeuren. Elke App, elk systeem heeft andere wachtwoorden die niet voorkomen in de lijst van gestolen wachtwoorden.
Men zou van de TU toch wel wat beter verwachten.
Een behoorlijke FAIL.
Vandaag, 12:02 door
Anoniem
Door Anoniem:
En dat het uberhaupt mogelijk is om hetzelfde wachtwoord te gebruiken. Met een AD policy kun je ervoor zorgen dat men de laatste 8 of 10 gebruikt wachtwoord niet opnieuw mag gebruiken.
Door DanteVortex: Dan ben je natuurlijk wel een speciaal soort idioot als je gevraagd wordt om je uitgelekte wachtwoord te vervangen, en dan gebruik je gewoon hetzelfde wachtwoord.
En dat het uberhaupt mogelijk is om hetzelfde wachtwoord te gebruiken. Met een AD policy kun je ervoor zorgen dat men de laatste 8 of 10 gebruikt wachtwoord niet opnieuw mag gebruiken.
Maar die AD password policy geldt ook niet altijd. Bij administrative resets (zoals via ADUC) of incorrect geprogrammeerde IAM tooling wordt de wachtwoord geschiedenis niet gecontroleerd.
Vandaag, 12:14 door
_R0N_
Door Anoniem:
Ik had laatst nog een CISO die beweerde enkel verantwoordelijk te zijn voor beleid, niet voor de naleving of controle daarvan.
Dit is het hele probleem met (IT) beveiliging in het algemeen. De regels en technische maatregelingen zijn er wel maar er zijn simpelweg te weinig mensen die er echt achter staan (en hun vuist op tafel slaan). Dan heb je nog de managers die zich tegen iedere verandering verzetten en een directie die het allemaal maar onzin vindt.
We zullen simpelweg nooit verbetering zien tot we deze mensen uit het vraagstuk halen. De NIS2 maakt het tenminste duidelijk dat deze prutsers nu verantwoordelijk zijn voor hun falende leiderschap. Al verwacht ik nog steeds niet dat er ooit iemand echt gestraft gaat worden. Wir haben es nicht gewußt...
Door _R0N_:
Je moest eens weten hoe mensen in de IT omgaan met wachtwoorden en authenticatie in het algemeen.
Door Anoniem: Sorry hoor, geen MFA en wachtwoorden hergebruiken, wat voor een soort ICT mensen werken daar?
Je moest eens weten hoe mensen in de IT omgaan met wachtwoorden en authenticatie in het algemeen.
Ik had laatst nog een CISO die beweerde enkel verantwoordelijk te zijn voor beleid, niet voor de naleving of controle daarvan.
Dit is het hele probleem met (IT) beveiliging in het algemeen. De regels en technische maatregelingen zijn er wel maar er zijn simpelweg te weinig mensen die er echt achter staan (en hun vuist op tafel slaan). Dan heb je nog de managers die zich tegen iedere verandering verzetten en een directie die het allemaal maar onzin vindt.
We zullen simpelweg nooit verbetering zien tot we deze mensen uit het vraagstuk halen. De NIS2 maakt het tenminste duidelijk dat deze prutsers nu verantwoordelijk zijn voor hun falende leiderschap. Al verwacht ik nog steeds niet dat er ooit iemand echt gestraft gaat worden. Wir haben es nicht gewußt...
Zelfs met alle certificeringen en druk vanuit de Sec afdeling zijn er nog mensen die allerlei uitzonderingen nodig zeggen te hebben. Die uitzonderingen worden dan weer goedgekeurd door een stropdas die inhoudelijk geen idee heeft waar hij verantwoordelijk voor is.
Vandaag, 12:27 door
Anoniem
Door _R0N_:
Je moest eens weten hoe mensen in de IT omgaan met wachtwoorden en authenticatie in het algemeen.
Ik zat bij een meeting bij een grote groene telco en iemand vertelde over het wachtwoordbeleid dat iedereen sterke wachtwoorden moet gebruiken etc.
Toen ik zei "Dat is een mooi streven maar nieuwe medewerkers krijgen een wachtwoord als Zebra001"
Het antwoord: "Ja we gaan er vanuit dat iedereen at wijzigt naar een sterk wachtwoord"
Ik denk dat dat duidelijk genoeg is hoe de meeste bedrijven omgaan met wachtwoord policies.
Wat heeft groen hier nu weer mee te maken? Suggereer je nu stiekem dat vooral linkse bedrijven een waardeloze wachtwoord policy hebben?Door Anoniem: Sorry hoor, geen MFA en wachtwoorden hergebruiken, wat voor een soort ICT mensen werken daar?
Je moest eens weten hoe mensen in de IT omgaan met wachtwoorden en authenticatie in het algemeen.
Ik zat bij een meeting bij een grote groene telco en iemand vertelde over het wachtwoordbeleid dat iedereen sterke wachtwoorden moet gebruiken etc.
Toen ik zei "Dat is een mooi streven maar nieuwe medewerkers krijgen een wachtwoord als Zebra001"
Het antwoord: "Ja we gaan er vanuit dat iedereen at wijzigt naar een sterk wachtwoord"
Ik denk dat dat duidelijk genoeg is hoe de meeste bedrijven omgaan met wachtwoord policies.
Hoe eenvoudig is het om mensen te laten dwingen tijdens eerste keer inloggen om een sterkwachtwoord te verzinnen.
Hier worden al jaren geen wachtwoorden gebruikt, maar ik heb begrepen dat microsoft hier ook eindelijk aan gaat werken.
Vandaag, 12:32 door
Anoniem
Maar de realiteit is dat we toch hackers binnen hadden, waardoor de universiteit een week lang stillag, met flinke gevolgen voor studenten en medewerkers
Ga er maar vast aan wennen. Zie patch dinsdag al jarenlang, of te wel continue lek.Welk lek ze dit keer misbruikt hebben wordt niet verteld.
Vandaag, 13:37 door
Anoniem
Door Anoniem:
Welk lek ze dit keer misbruikt hebben wordt niet verteld.
Maar de realiteit is dat we toch hackers binnen hadden, waardoor de universiteit een week lang stillag, met flinke gevolgen voor studenten en medewerkers
Ga er maar vast aan wennen. Zie patch dinsdag al jarenlang, of te wel continue lek.Welk lek ze dit keer misbruikt hebben wordt niet verteld.
Er zal er wel weer een een uitzondering bedongen hebben die goedgekeurd werd door een stropdas van juridische zaken.
Vandaag, 14:11 door
Anoniem
Wat een domme slimme mensen...
Vandaag, 14:15 door
Anoniem
Door Anoniem:
Vijf dagen later lukte het de aanvallers om hun rechten te verhogen.
Dit dus. Hoe dan? Dat ze konden inloggen als gebruiker zou geen probleem mogen zijn behalve voor die gebruiker.Wat dacht je van een 0day exploit?
Vandaag, 14:43 door
Anoniem
Door Anoniem:
Wat dacht je van een 0day exploit?
Waarom melden ze dat dan niet? Ik denk dat ze het zelf niet weten en dat het dus gewoon weer gaat gebeuren.Door Anoniem:
Vijf dagen later lukte het de aanvallers om hun rechten te verhogen.
Dit dus. Hoe dan? Dat ze konden inloggen als gebruiker zou geen probleem mogen zijn behalve voor die gebruiker.Wat dacht je van een 0day exploit?
Vandaag, 15:06 door
Anoniem
Door _R0N_:
Zelfs met alle certificeringen en druk vanuit de Sec afdeling zijn er nog mensen die allerlei uitzonderingen nodig zeggen te hebben. Die uitzonderingen worden dan weer goedgekeurd door een stropdas die inhoudelijk geen idee heeft waar hij verantwoordelijk voor is.
Door Anoniem:
Ik had laatst nog een CISO die beweerde enkel verantwoordelijk te zijn voor beleid, niet voor de naleving of controle daarvan.
Dit is het hele probleem met (IT) beveiliging in het algemeen. De regels en technische maatregelingen zijn er wel maar er zijn simpelweg te weinig mensen die er echt achter staan (en hun vuist op tafel slaan). Dan heb je nog de managers die zich tegen iedere verandering verzetten en een directie die het allemaal maar onzin vindt.
We zullen simpelweg nooit verbetering zien tot we deze mensen uit het vraagstuk halen. De NIS2 maakt het tenminste duidelijk dat deze prutsers nu verantwoordelijk zijn voor hun falende leiderschap. Al verwacht ik nog steeds niet dat er ooit iemand echt gestraft gaat worden. Wir haben es nicht gewußt...
Door _R0N_:
Je moest eens weten hoe mensen in de IT omgaan met wachtwoorden en authenticatie in het algemeen.
Door Anoniem: Sorry hoor, geen MFA en wachtwoorden hergebruiken, wat voor een soort ICT mensen werken daar?
Je moest eens weten hoe mensen in de IT omgaan met wachtwoorden en authenticatie in het algemeen.
Ik had laatst nog een CISO die beweerde enkel verantwoordelijk te zijn voor beleid, niet voor de naleving of controle daarvan.
Dit is het hele probleem met (IT) beveiliging in het algemeen. De regels en technische maatregelingen zijn er wel maar er zijn simpelweg te weinig mensen die er echt achter staan (en hun vuist op tafel slaan). Dan heb je nog de managers die zich tegen iedere verandering verzetten en een directie die het allemaal maar onzin vindt.
We zullen simpelweg nooit verbetering zien tot we deze mensen uit het vraagstuk halen. De NIS2 maakt het tenminste duidelijk dat deze prutsers nu verantwoordelijk zijn voor hun falende leiderschap. Al verwacht ik nog steeds niet dat er ooit iemand echt gestraft gaat worden. Wir haben es nicht gewußt...
Zelfs met alle certificeringen en druk vanuit de Sec afdeling zijn er nog mensen die allerlei uitzonderingen nodig zeggen te hebben. Die uitzonderingen worden dan weer goedgekeurd door een stropdas die inhoudelijk geen idee heeft waar hij verantwoordelijk voor is.
Dat is vaak een probleem: de business moet doorgaan, want er moet geld verdiend worden.
Soms is het beter als er wel iets gebeurt, zodat sommige mensen eens op de vingers getikt worden...
Vandaag, 15:26 door
spatieman
Zoveel slimme koppen, en dan zo'n dommigheid uithalen...
Vandaag, 15:29 door
Anoniem
Door Anoniem:
Hoe dan? Dat die vraag bij je op komt is prima, maar probeer eens om hem dan niet meteen in de groep te gooien maar om eerst te kijken of er al ergens naar het antwoord verwezen wordt. Zowel security.nl als TU/e plaatsen de links die ze opnemen niet voor niets, weet je? Die staan er voor wie meer informatie wil. Gebruik ze! Vijf dagen later lukte het de aanvallers om hun rechten te verhogen.
Dit dus. Hoe dan? Dat ze konden inloggen als gebruiker zou geen probleem mogen zijn behalve voor die gebruiker.In het artikel hierboven staat een link naar een nieuwsbericht van de TU/e. Onderaan dat nieuwsbericht staat een aantal links naar rapporten, waaronder een technisch rapport van FOX-IT. Ik dat rapport staat een hoofdstuk over privilege escalation.
Het is niet moeilijk, gewoon een kwestie van de links die je krijgt aangereikt volgen in plaats van ze te negeren, dan krijg je heel veel antwoorden vrijwel in je schoot geworpen. Probeer het eens, je verrijkt jezelf enorm als je iets verder kijkt dan je neus lang is, het is de inspanning meer dan waard!
Vandaag, 15:31 door
Anoniem
Door Anoniem: Sorry hoor, geen MFA en wachtwoorden hergebruiken, wat voor een soort ICT mensen werken daar?
WIe zegt dat het ICT'ers waren? Geen aannames doen.
Vandaag, 15:32 door
Anoniem
Door spatieman: Zoveel slimme koppen, en dan zo'n dommigheid uithalen...
Domme dingen doen heeft niks met slimheid te maken.
Vandaag, 16:01 door
_R0N_
Door Anoniem:
Hoe eenvoudig is het om mensen te laten dwingen tijdens eerste keer inloggen om een sterkwachtwoord te verzinnen.
Hier worden al jaren geen wachtwoorden gebruikt, maar ik heb begrepen dat microsoft hier ook eindelijk aan gaat werken.
Door _R0N_:
Je moest eens weten hoe mensen in de IT omgaan met wachtwoorden en authenticatie in het algemeen.
Ik zat bij een meeting bij een grote groene telco en iemand vertelde over het wachtwoordbeleid dat iedereen sterke wachtwoorden moet gebruiken etc.
Toen ik zei "Dat is een mooi streven maar nieuwe medewerkers krijgen een wachtwoord als Zebra001"
Het antwoord: "Ja we gaan er vanuit dat iedereen at wijzigt naar een sterk wachtwoord"
Ik denk dat dat duidelijk genoeg is hoe de meeste bedrijven omgaan met wachtwoord policies.
Wat heeft groen hier nu weer mee te maken? Suggereer je nu stiekem dat vooral linkse bedrijven een waardeloze wachtwoord policy hebben?Door Anoniem: Sorry hoor, geen MFA en wachtwoorden hergebruiken, wat voor een soort ICT mensen werken daar?
Je moest eens weten hoe mensen in de IT omgaan met wachtwoorden en authenticatie in het algemeen.
Ik zat bij een meeting bij een grote groene telco en iemand vertelde over het wachtwoordbeleid dat iedereen sterke wachtwoorden moet gebruiken etc.
Toen ik zei "Dat is een mooi streven maar nieuwe medewerkers krijgen een wachtwoord als Zebra001"
Het antwoord: "Ja we gaan er vanuit dat iedereen at wijzigt naar een sterk wachtwoord"
Ik denk dat dat duidelijk genoeg is hoe de meeste bedrijven omgaan met wachtwoord policies.
Hoe eenvoudig is het om mensen te laten dwingen tijdens eerste keer inloggen om een sterkwachtwoord te verzinnen.
Hier worden al jaren geen wachtwoorden gebruikt, maar ik heb begrepen dat microsoft hier ook eindelijk aan gaat werken.
Uhh nee, heeft niets met Links of Rechts te maken en ook niet met het milieu.
Waar het hart van vol is zullen we maar zeggen.
Google eens naar de Nederlandse telco's en kom dan terug.
Vandaag, 16:56 door
Anoniem
Door Anoniem:
Vijf dagen later lukte het de aanvallers om hun rechten te verhogen.
Dit dus. Hoe dan? Dat ze konden inloggen als gebruiker zou geen probleem mogen zijn behalve voor die gebruiker.Je zit op dit forum maar leest verder niks ?
Met de regelmaat van de klok kun je hier lezen over CVE (=vulnerability), exploits etc .
Het hoe zal dus zijn : met een exploit (en/of beheer slordigheid) . Het is haast een gegeven dat in een voldoende grote omgeving - zoals een universiteit - niet alles meteen perfect gepatched of geconfigureerd is , en een capable intruder er dan vroeger of later in zal slagen om de gebruikersrechter te verhogen naar admin.
Hier blijkbaar vijf dagen werk van de hackers .
De volgende verdedigingslinie is - monitoring , en dat hadden ze duidelijk netjes voor elkaar .
tip voor alle thuisbeheerders hier : in een bedrijfsmatige omgeving zit er NIET één beheerder 5 uur per dag één systeem perfect te maken.
Vandaag, 17:03 door
Anoniem
Door Anoniem:
"grote groene telco"
Wat heeft groen hier nu weer mee te maken? Suggereer je nu stiekem dat vooral linkse bedrijven een waardeloze wachtwoord policy hebben?
"grote groene telco"
Wat heeft groen hier nu weer mee te maken? Suggereer je nu stiekem dat vooral linkse bedrijven een waardeloze wachtwoord policy hebben?
Jij bent wel enorm ingevoerd in het Nederlandse bedrijfslandschap , zeg.
zucht. Sommige pseudoniemen als mensen de naam niet willen opschrijven weet "iedereen" wel.
"gloeilampenfabrikant uit het zuiden des lands " - Philips.
"grote groene telco" - KPN. (want logo kleur, gekozen ruim voorde woke milieu hype )
"bekende voetbalclub uit Amsterdam" - AJAX .
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?