image

Microsoft: Meeste NotPetya-infecties via gestolen inloggegevens

dinsdag 6 februari 2018, 14:04 door Redactie, 12 reacties

De NotPetya-ransomware die zich op 27 juni 2017 verspreidde maakte voornamelijk gebruik van gestolen inloggegevens, aldus Microsoft in een nieuwe analyse van de wereldwijde aanval. De initiële infectie door NotPetya begon via de boekhoudsoftware MEDoc.

Zodra er een machine in het netwerk besmet was geraakt probeerde de malware zich verder te verspreiden. NotPetya beschikte hiervoor over twee mechanismes. Zo werden kwetsbaarheden in de Windows SMB-server aangevallen waar ook de WannaCry-ransomware gebruik van maakte. Daarnaast werden inloggegevens van ingelogde accounts gestolen, waarmee andere machines in het netwerk werden aangevallen. Het ging hierbij alleen om ingelogde accounts met een actieve sessie.

Microsoft stelt dat de meeste infecties via gestolen inloggegevens plaatsvonden. Dit komt waarschijnlijk door de uitbraak van de WannaCry-ransomware zes weken eerder. Dit zorgde ervoor dat organisaties de beveiligingsupdate installeerden waarmee de kwetsbaarheden in de Windows SBM-server werden verholpen. "Vanwege deze tweeledige aanpak om zich te verspreiden, raakten zelfs organisaties die 97 procent van hun machines hadden gepatcht besmet met NotPetya. Dit laat zien dat het verhepen van één aanvalsvector niet genoeg is", aldus Microsoft.

Back-ups en communicatie

Een onderbelicht aspect van de infectie is dat NotPetya back-upapplicaties en uitrolsystemen voor besturingssystemen uitschakelde. Wat de mogelijkheid van getroffen organisaties om hun it-omgeving te herstellen belemmerde. In sommige gevallen moest it-personeel op papieren documentatie terugvallen omdat de servers met de recoverydocumenten ook offline waren. Volgens Microsoft laat dit zien dat off-site back-ups en papieren documenten en herstelprocedures noodzakelijk zijn.

Daarnaast bleven getroffen organisaties zonder bedrijfscommunciatie achter, aangezien e-mailservers vaak ook offline waren. Organisaties zagen zich daardoor gedwongen om op alternatieve communicatiemethodes over te stappen, zoals WhatsApp, Twitter en persoonlijk e-mailadressen, aldus Microsoft. Eén van de door NotPetya getroffen bedrijven was de Deense multinational Maersk. Het bedrijf liet onlangs weten dat het vanwege de infectie 45.000 pc's en 4.000 servers opnieuw moest installeren.

Image

Reacties (12)
06-02-2018, 15:57 door karma4 - Bijgewerkt: 06-02-2018, 15:58
Eén van de door NotPetya getroffen bedrijven was de Deense multinational Maersk.
Ict uitbesteed en op afstand gezet bij een bekende grote 3 letterige international. Dan is alles opnieuw uitrollen in 10 dagen ineens een haalbaar iets.
06-02-2018, 17:56 door -karma4
Door karma4:
Eén van de door NotPetya getroffen bedrijven was de Deense multinational Maersk.
Ict uitbesteed en op afstand gezet bij een bekende grote 3 letterige international. Dan is alles opnieuw uitrollen in 10 dagen ineens een haalbaar iets.

MSFT is vier letters! Een, twee, drie, vier.
06-02-2018, 18:23 door karma4 - Bijgewerkt: 06-02-2018, 18:35
Door The FOSS: ...
MSFT is vier letters! Een, twee, drie, vier.
Uitbesteed aan IBM die doen het ict werk, datacenter etc. Ik tel echt 3 letters. Zo'n beetje als bij UWV en ABN (de bank).
Je moet de wereld vanaf de top een beetje begrijpen.
ICT is lastig niet de core business. Met dwasliggende figuren, nerds, kun je het beter buiten de deur zetten. Nadeel is alleen het kostenaspect het moet snel en goedkoop.

Met Maersk zie je een voordeel. Met zo'n grote dienstverlener is er snel daadkracht te mobiliseren. Elk nadeel heeft zijn voordeel.

IBM is er open in, voor de ongelovigen:
https://www-03.ibm.com/press/us/en/pressrelease/7432.wss
06-02-2018, 19:21 door Bitwiper
Uit de nieuwe analyse van Microsoft blijkt dat patchen niet hielp (en nog steeds niet helpt) want verspreiding vond in verreweg de meeste gevallen plaats via credential theft en/of pass-the-hash aanvallen (met van mimikatz afgeleide code).

Uit die nieuwe analyse:
The good news here is that any investment made into credential theft defenses (as well as patching and other defenses) will directly benefit your ability to stave off targeted data theft attacks because Petya simply re-used attack methods popularized in those attacks.
WTF? "The good news here" is dat als je in "credential theft defenses" had geïnvesteerd, je wellicht een voordeel had gehad? En waar koop ik die dan, bij third parties of zo?

Ben ik de enige die een structurele Microsoft oplossing mist in deze "nieuwe analyse"?

Met de in Windows ingebouwde legacy technieken van cached credentials, impersonation en pass the hash kan een aanvaller veel te simpel niet-of-nauwelijks ingeperkte privileges op remote systemen verkrijgen. Ik moet nog zien dat Microsoft's laatste lapmiddelen daarvoor (uitsluitend beschikbaar in de allerlaatste enterprise versies van Windows - en met bijwerkingen) het aantal toekomstige slachtoffers serieus gaat beperken.
06-02-2018, 20:51 door karma4
Door Bitwiper: .....
Ben ik de enige die een structurele Microsoft oplossing mist in deze "nieuwe analyse"?
......
Ik mis een gedegen security by design ontwerp.
Password file met admin rechten en alle password less Keys is o zo handig in dagelijks gebruik en o zo handig voor de blackhat Hacker. Met een air van een veilig os heb je standaard een open backdoor door slechte praktijken.
Met een redhat gebeuren is het nog steeds dweilen als je de basis niet goed doet.
07-02-2018, 04:38 door Anoniem
Door karma4:
Eén van de door NotPetya getroffen bedrijven was de Deense multinational Maersk.
Ict uitbesteed en op afstand gezet bij een bekende grote 3 letterige international. Dan is alles opnieuw uitrollen in 10 dagen ineens een haalbaar iets.

IBM is jouw ex werkgever?
07-02-2018, 07:26 door -karma4
Door karma4:
Door Bitwiper: .....
Ben ik de enige die een structurele Microsoft oplossing mist in deze "nieuwe analyse"?
......
Ik mis een gedegen security by design ontwerp.

Waarom doet Microsoft dit niet, om problemen bij haar klanten te voorkomen? Ze zullen het wel te duur vinden, of te veel moeite. Ook is het goed mogelijk dat ze het gewoon niet kunnen, omdat hun software in de basis verkeerd is opgezet en ze compatibel moeten blijven met eerdere versies. Catch-22 in dat geval.
07-02-2018, 09:41 door Bitwiper - Bijgewerkt: 07-02-2018, 09:55
Door The FOSS:
Door karma4:
Door Bitwiper: .....
Ben ik de enige die een structurele Microsoft oplossing mist in deze "nieuwe analyse"?
......
Ik mis een gedegen security by design ontwerp.

Waarom doet Microsoft dit niet, om problemen bij haar klanten te voorkomen? Ze zullen het wel te duur vinden, of te veel moeite. Ook is het goed mogelijk dat ze het gewoon niet kunnen, omdat hun software in de basis verkeerd is opgezet en ze compatibel moeten blijven met eerdere versies. Catch-22 in dat geval.
Dat laatste, maar ook gebruiksgemak.

Er is in de laatste Windowsversies veel aan gesleuteld waar ik niet alle detals van ken, maar in de basis speelt o.a. het volgende:

1) Cached credentials. Als je met een AD account inlogt en er is geen AD controller (bijtijds) bereikbaar, is het de default dat je toch gewoon kunt inloggen (l33t is dat je daardoor gewoon kunt inloggen als je de netwerkstekker uit je PC trekt nadat je account in AD is geblokkeerd). Ook op AD gekoppelde computers wordt dus een lijstje met inloggegevens van de laatste N (ik meen 10 of zo) AD gebruikers bijgehouden (naast lokale accounts, maar tenzij daar accounts met dezelfde naam en password tussenzitten, kun je daarmee niet inloggen op andere netwerk-gekoppelde computers).

Dit is essentieel voor gebruikers met AD accounts met notebooks buiten het pand, maar anders vooral een risico - omdat in elk geval een (zwakke, eenvoudig kraakbare) hash van het wachtwoord wordt opgeslagen (PtH risico, daarover zo meer), maar soms ook het plain-text wachtwoord zelf. Bij veel organisaties zijn, ook op PC's van eindgebruikers, in dat lijstje de credentials van minstens 1 Domain Admin te vinden (de kroonjuwelen voor een aanvaller).

2) PtH (Pass the Hash). Als je vanaf een PC verbinding maakt met een remote systeem, stuurt Windows (tenzij noodzakelijk) niet jouw wachtwoord, maar de hash van jouw wachtwoord over het netwerk (ik ken de laatste details niet, maar daar zit vast/hopelijk wel een challenge-respond systeem bij waardoor een aanvaller die de netwerkverbinding afluistert niet simpelweg "replay-attacks" kan uitvoeren). Dit mechanisme is de basis voor SSO (Single Sign On, je hoeft maar 1x in te loggen door naam en wachtwoord in te voeren), zonder dat jouw wachtwoord zelf hoeft te worden opgeslagen. Helaas is daarmee de hash van jouw wachtwoord net zo waardevol als jouw wachtwoord zelf (alhoewel kraken van Windows wachtwoordhashes in de meeste gevallen een peuleschil is).

Kortom, SSO is zeer ver doorgevoerd in Windows en (bijna) alle applicatiesoftware voor organisaties gaat hiervan uit. Helaas kan "dankzij" SSO elke PC in een netwerk de zwakste schakel vormen. Want als een aanvaller 1 PC weet te compromitteren, kan zij (m/v) sowieso als de ingelogde gebruiker andere computers benaderen. En als het haar lukt om cached credentials te pakken te krijgen, is het helemaal lekker wandelen - vooral als daar de nog werkende (pw ondertussen niet gewijzigd) creds van een domain admin tussen zitten. En aangezien privilege escalation vulnerabilities in Windows voor het oprapen liggen (en omdat Microsoft deze qua risico relatief laag inschaalt, verwacht ik niet snel verbetering) is ook dat zelden moeilijk.

Mocht MS-bot-karma4 mekkeren dat andere besturingssystemen die SSO en cached creds ondersteunen net zo kwetsbaar zijn: ja. Overschakelen daarop is dus geen oplossing voor dit probleem, en die oplossing binnen Windows is dus noodzakelijk - desnoods tegen inlevering van gebruiksgemak.
07-02-2018, 11:06 door karma4
Door The FOSS:
Waarom doet Microsoft dit niet, om problemen bij haar klanten te voorkomen? Ze zullen het wel te duur vinden, of te veel moeite. Ook is het goed mogelijk dat ze het gewoon niet kunnen, omdat hun software in de basis verkeerd is opgezet en ze compatibel moeten blijven met eerdere versies. Catch-22 in dat geval.

Microsoft geeft advies over security inrichting
NIST geeft advies over security inrichting
NCSC geeft advies over security inrchting. Er is een open standaard https://www.noraonline.nl/wiki/Beveiligingspatronen

De dwarsliggers voor gedegen security zijn de open source voorvechters die verder nergens een boodschap aan hebben, gebrek aan normen en waarden tonen, gebrek aan ethiek tonen.
Het enige wat ze dwars zit is dat niet iedereen hun geloof klakkeloos en kritiekloos overneemt.

En een bitwiper het succes van windows met SSO is omdat ze dat deel beter doen dan Unix/Linux.
Je hebt of een onbeheersbare chaos in het Linux veld dat je buiten de deur zet, of je gaat het proberen te koppelen aan AD met Samba SMB etc. Het gebreke aan segmentatie service accounts is in de Linux wereld gangbaar met de nerds beheerders. Onder Windows krijg je wel response van de dienstverlening.
Je frustratie op het eigen gebrek botvieren als iets wat anderen niet mogen noemen is behoorlijk zwak.
07-02-2018, 16:12 door karma4
Door Anoniem: .....IBM is jouw ex werkgever?
Nope.
Ik zie en heb gezien hoe het hele spel van aanbesteden inkoop overname uitbesteden gespeeld wordt.
Kosten als hoofdthema met korter termijn doelen. Kwaliteit en lange termijn zijn te vermijden zaken.
Als je weet hoe dat werkt kun je dat makkelijker herkennen en ook de referenties ter onderbouwing daarvan terugvinden.

De link van de overname ICT Maersk kun je zo controleren. Voor de meeste grote bedrijven en organisaties gebeurt zoiets al kan je dat niet altijd terugvinden. Uiteindelijk zie je de situatie van moegestreden goedwillenden, de saboteurs met hun eigen geloof en managers die alleen maar aan het reorganiseren gaan omdat het anders moet maar niemand weet hoe het anders zou kunnen.
08-02-2018, 09:08 door -karma4
Door karma4:
Door The FOSS:
Waarom doet Microsoft dit niet, om problemen bij haar klanten te voorkomen? Ze zullen het wel te duur vinden, of te veel moeite. Ook is het goed mogelijk dat ze het gewoon niet kunnen, omdat hun software in de basis verkeerd is opgezet en ze compatibel moeten blijven met eerdere versies. Catch-22 in dat geval.

Microsoft geeft advies over security inrichting
NIST geeft advies over security inrichting.

ROFL! Microsoft die advies geeft over security? Aan anderen? Laat ze eerst eens beginnen om hun eigen bagger te beveiligen en verbeteren (dat beretrage, belabberde, rebootende, update mechanisme bijvoorbeeld).

Door karma4: NCSC geeft advies over security inrchting. Er is een open standaard https://www.noraonline.nl/wiki/Beveiligingspatronen

ROFL! Microsoft en open standaarden? Dat hebben ze altijd en overal tegengewerkt!
08-02-2018, 09:49 door Anoniem
Door The FOSS:
Door karma4:
Door Bitwiper: .....
Ben ik de enige die een structurele Microsoft oplossing mist in deze "nieuwe analyse"?
......
Ik mis een gedegen security by design ontwerp.

Waarom doet Microsoft dit niet, om problemen bij haar klanten te voorkomen? Ze zullen het wel te duur vinden, of te veel moeite. Ook is het goed mogelijk dat ze het gewoon niet kunnen, omdat hun software in de basis verkeerd is opgezet en ze compatibel moeten blijven met eerdere versies. Catch-22 in dat geval.

... goede beveiliging van accounts en credentials zit niet primair in techniek, maar in people & process: de mensen en hoe ze zich gedragen. Daar heeft Microsoft al jaren geleden echt goede documentatie over gepubliceerd:

Securing Privileged Access
https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access

Het lastige hierbij alleen is dat het geen simpel technisch ding is. Bedrijven investeren liever/makkelijker een paar ton in een nieuwe firewall om zich veiliger te *voelen*, dan dat ze de strijd aangaan met hun eigen mensen en processen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.