image

"Bedrijven moeten voorkomen dat desktops elkaar besmetten"

zondag 1 juli 2018, 09:32 door Redactie, 23 reacties

Het is precies een jaar geleden dat de NotPetya-malware zich verspreidde en de belangrijkste les is dat bedrijven en organisaties meer moeten doen om te voorkomen dat desktops elkaar besmetten. Dat stelt beveiligingsexpert Robert Graham van securitybedrijf Errata Security, die bijval krijgt van Microsoft.

De infectie met NotPetya begon met een boekhoudprogramma dat een besmette update ontving. Zodra er een machine in het netwerk was besmet gebruikte de malware twee manieren om zich verder te verspreiden. Er werden beveiligingslekken in de smb-dienst van Windows gebruikt waardoor eerder ook de WannaCry-ransomware zich verspreidde. Daarnaast maakte NotPetya gebruik van een soort Mimikatz-achtige tool. Via deze tool werden inloggegevens op een besmette machine gestolen. Vervolgens werd er geprobeerd om met deze inloggegevens op andere machines in te loggen. Wanneer de malware de inloggegevens van de beheerder wist te bemachtigen werd het gehele Windows-domein geïnfecteerd. "Een dergelijke manier van verspreiden via Windows-wachtwoorden blijft een plaag voor organisaties", aldus Graham.

Als voorbeeld wijst hij naar de ransomware-infectie van de Amerikaanse stad Atlanta, die op soortgelijke wijze plaatsvond en voor miljoenen dollars schade veroorzaakte. "Dit is de belangrijkste les die organisaties moeten leren en degene die ze negeren. Ze moeten meer doen om te voorkomen dat desktops elkaar infecteren, bijvoorbeeld door port-isolation en microsegmentatie." Ook moet er meer controle plaatsvinden op de verspreiding van adminwachtwoorden binnen de organisatie. Veel organisaties gebruiken hetzelfde lokale adminwachtwoord voor elk werkstation, wat de verspreiding van NotPetya-achtige malware eenvoudig maakt. Tevens moet er naar de vertrouwensrelatie tussen domeinen worden gekeken, zodat de beheerder van het ene domein de andere niet kan infecteren.

"De lessen die van NotPetya geleerd kunnen worden is niet het patchen van systemen, maar het omgaan met vijandige automatische updates die diep het netwerk binnenkomen en het belangrijkste, het stoppen van de verspreiding van malware via vertrouwensrelaties en rondzwervende beheerderswachtwoorden", stelt Graham. Ook Microsoft waarschuwde deze week voor het probleem van aanvallers die zich via standaardtools lateraal door netwerken bewegen en misbruik van admin-wachtwoorden maken.

Image

Reacties (23)
01-07-2018, 09:43 door -karma4
Het is precies een jaar geleden dat de NotPetya-malware zich verspreidde en de belangrijkste les is dat bedrijven en organisaties meer moeten doen om te voorkomen dat desktops elkaar besmetten. Dat stelt beveiligingsexpert Robert Graham van securitybedrijf Errata Security, die bijval krijgt van Microsoft.

Wel ja! Bijval van Microsoft! Natuurlijk grijpt Microsoft weer elke kans aan om te voorkomen dat ze gewoon het werk moeten doen om hun software veilig te maken! Walgelijk.
01-07-2018, 09:44 door Anoniem
Ik dacht dat deugdelijke waren leveren de taak was van de fabrikant.
01-07-2018, 09:54 door karma4 - Bijgewerkt: 01-07-2018, 09:55
Door The FOSS: Wel ja! Bijval van Microsoft! Natuurlijk grijpt Microsoft weer elke kans aan om te voorkomen dat ze gewoon het werk moeten doen om hun software veilig te maken! Walgelijk.
Het is niet het werk van Microsoft om lokaal beheer uit te voeren. Dat werk wordt bij veel andere dienstverleners uitbesteed.
Nogal walgelijk de de OSS gemeenschap zo gigantisch faalt een behoorlijke software en blind is voor informatieveiligheid.
Zoals eerder, de haven van rotterdam (Maersk) loopt aan de hand van andere bekende grote commerciëlen. De NHS (UK) had een grote ICT flater achter de rug waarna een ieder het voor niets (gratis) lokaal zelf moest gaan doen. Het bekende euvel wat je met IOT (oss) ook ziet. Het wekt toch dus verder niet moeilijk doen, probleen zijn voor anderen.
01-07-2018, 10:04 door Anoniem
kijk als je je 'ramen' openzet, moet je niet raar opkijken dat er strontvliegen binnen komen. sluit je 'ramen' of gebruik een fatsoenlijk frisse lucht systeem. het is jammer dat 'ramen' vaak klakkeloos zonder nadenken geinstalleerd worden en achteraf vaak open blijken te staan. je zou verwachten dat deze 'ramen' direct af van van de fabriek dicht geinstalleerd zouden worden met een zegeltje zodat als de 'raam' open blijkt te staan, iedereen zeker weet dat de installateur dat bewust en expres heeft gedaan en dus ter verantwoording geroepen kan worden. moeten die 'ramen' wel met een zegeltje uit de frabriek afgesloten geleverd worden. het voordeel dat we dan krijgen is dat we heel vlug merken welke installateur zijn geld waard is en wie niet. dat zou voor iedereen een veiligere wereld op gaan leveren. niet? want er wordt wat afgeprutst met 'ramen' op deze wereld door beunhaasjes met vlotte babels.
01-07-2018, 11:14 door Anoniem
Boodschap van Microsoft kan ik onderschrijven “You can stop all of them from moving laterally by blocking SMB and RPC between endpoints using the Windows Firewall”
Echt, hoeveel netwerken ik nog dagelijks tegenkom waar beheersers die ‘vervelende’ firewall uitschakelen op de servers en werkstations...
01-07-2018, 11:56 door -karma4
Door karma4:
Door The FOSS: Wel ja! Bijval van Microsoft! Natuurlijk grijpt Microsoft weer elke kans aan om te voorkomen dat ze gewoon het werk moeten doen om hun software veilig te maken! Walgelijk.
Het is niet het werk van Microsoft om lokaal beheer uit te voeren.

Nee, dat zeg ik! Het werk van Microsoft is niet om bijval te geven bij lokaal beheer zaken. Het is hun werk om hun software veilig en up to date te houden. Deden ze dát maar!
01-07-2018, 13:38 door karma4
Door The FOSS: ….
Nee, dat zeg ik! Het werk van Microsoft is niet om bijval te geven bij lokaal beheer zaken. Het is hun werk om hun software veilig en up to date te houden. Deden ze dát maar!
Dat doen ze en geven het advies om geen SMBV1 te gebruiken, echter die OSS fanaten komen pas na 2008 met SMBv2 v vervolgens verwijten ze hun faal aan anderen. De groot commerciëlen en dienstverleners hebben hun eigen agendas en verdienmodellen. Heel praktisch om aan de klanten te verkopen dat ze niet hoeven na te denken want ÓSS en zij als groot bedrijf het wel beter weten. De faal zit echt ergens anders dan jouw blinde MS haat. De lijkt wel op de OS/2 hype en faal.

Ik zi MS trouwens de zelfde soort verkooppraat gaan bezigen die ik eerder enkel met OSS en de andere grote commerciële zag. Met name in het cloud gebeuren gebeurt dat. Daar is de insteek dat de beslissers eigenlijk niets met techniek te maken willen hebben en het graag over de muur naar een dienstverlener kwijt willen.
Dat gaat niet meer met de GDPR AVG als die tenminste van toepassing is.
01-07-2018, 13:55 door -karma4 - Bijgewerkt: 01-07-2018, 13:56
Door karma4:
Door The FOSS: ….
Nee, dat zeg ik! Het werk van Microsoft is niet om bijval te geven bij lokaal beheer zaken. Het is hun werk om hun software veilig en up to date te houden. Deden ze dát maar!
Dat doen ze

Nou nee, dat doen ze niet! Kijk maar naar de hoeveelheid berichten over de onveiligheid van Microsoft software. Hier en op de rest van het internet. Het kost bedrijven en instanties miljoenen! En voor particulieren is het ook niet fijn!
01-07-2018, 14:57 door karma4 - Bijgewerkt: 01-07-2018, 14:59
Door The FOSS:
Nou nee, dat doen ze niet! Kijk maar naar de hoeveelheid berichten over de onveiligheid van Microsoft software. Hier en op de rest van het internet. Het kost bedrijven en instanties miljoenen! En voor particulieren is het ook niet fijn!
Je krijgt de links waar het fout gaat. https://askubuntu.com/questions/546743/how-to-force-smb2-protocol-in-samba Smb V1 is van IBM OS/2 en wilde de OSS niet mee omzetten naar v2. Vervolgens zeuren ze (OSS) wel dat IOT troep met windows machines moet communiceren via dat V1 gedoe. Grootste p[robleem Linux IOT rommel dat overal aan moet (consumenten) en bij bedrijven de uit de doos aanpak met onvoldoende segregatie in netwerken (Netwerk bekabeling!) domein scheiding etc. Je verward de software code met degelijke architectuur. Dat mist OSS in de basis ."als het maar werkt".

Zelfs de scheiding in veiligheid software versus veiligheid inforrmatie (data gegevens) voglens gangbare zaken is iso27k worden genegeerd. Dat OSS veilig is om dat anderen er gratis en voor niets naar kijken is gewoon larie.
Zelfs hard code passwords en sleutels lijkt de norm met Linux te zijn. Echt niet goed. je kunt het meeste gewoon weggooien.


Uit het artikel:
"Veel organisaties gebruiken hetzelfde lokale adminwachtwoord voor elk werkstation, wat de verspreiding van NotPetya-achtige malware eenvoudig maakt. Tevens moet er naar de vertrouwensrelatie tussen domeinen worden gekeken, zodat de beheerder van het ene domein de andere niet kan infecteren."
Dat heeft niets met software te maken maar met beheer eenvoud moet goedkoop liefst gratis, als het maar werkt.
https://www.security.nl/posting/568057/Kabinet+kijkt+naar+CE-keurmerk+voor+Internet+of+Things
01-07-2018, 15:19 door Anoniem
Ik ben eigenlijk wel benieuwd hoe MS hier mee omgaat in zijn certificeriings trajecten. Veel beheerders volgen dit en halen daar de kennis uit.

Daarnaast blijft werkdruk en budget een groot struikelblok. Natuurlijk kunnen zaken soms beter of veiliger maar ja als management daar geen budget voor heeft of IT-beheer komt om in het werk, dan zullen deze zaken niet veranderen.
01-07-2018, 18:36 door karma4 - Bijgewerkt: 01-07-2018, 18:37
Door Anoniem: Ik ben eigenlijk wel benieuwd hoe MS hier mee omgaat in zijn certificeriings trajecten. Veel beheerders volgen dit en halen daar de kennis uit.

Daarnaast blijft werkdruk en budget een groot struikelblok. Natuurlijk kunnen zaken soms beter of veiliger maar ja als management daar geen budget voor heeft of IT-beheer komt om in het werk, dan zullen deze zaken niet veranderen.
Alle leveranciers richten zich met certificering op het gebruik van de technologie. Voor ms is dit een houvast.
Dus niet op de concepten en de te bereiken doelen en vereiste compliancy voor informatieverwerking zoals in het artikel benoemd.
Ooit een paar van de desktop project mensen meegemaakt. Desktop met "de applicaties" betekende Windows met Excel en Word, dat was verteld als de betekenis van applicaties. Alle Client Service interfaces voor het meer geavanceerde werk met de Server Side processing via een lokale frontend …. tja het zou niet bestaan.
01-07-2018, 18:43 door -karma4
Door karma4:
Door The FOSS:
Nou nee, dat doen ze niet! Kijk maar naar de hoeveelheid berichten over de onveiligheid van Microsoft software. Hier en op de rest van het internet. Het kost bedrijven en instanties miljoenen! En voor particulieren is het ook niet fijn!
Je krijgt de links waar het fout gaat.

Nee, wat lul je nou met je OSS linkjes. Ik heb het over MICROSOFT en haar closed source software!
01-07-2018, 19:54 door Anoniem
Simpel

Kijk maar naar IBM
https://www.security.nl/posting/489525/IBM%3A+Mac+goedkoper+in+beheer+dan+Windowscomputer

Mac's besmetten elkaar niet, daar heb je actieve besmet virussen voor nodig.
En die komen in de praktijk eigenlijk niet voor, net zo zeldzaam als het gevaar op vallende sterren.
01-07-2018, 21:02 door Bitwiper
Waar het fout gaat is dat in Microsoft's cursusmateriaal admins er niet op gewezen worden hoe zij hun domains dicht kunnen timmeren zodat computers (en gebruikers) veilig zijn. Terecht, want dan staat de telefoon op de servicedesk roodgloeiend omdat gebruikers niks meer kunnen. Waardoor niemand effectief beveiligt, want als je dat doet, je ontdekt dat niks meer werkt omdat niemand serieus beveiligt. Kip-ei dus...

Er is maar 1 partij die deze vicieuze cirkel kan doorbreken (door by default secure, optionally insecure te kiezen), en zij komt met UAC om dat vervolgens "not a security boundary" te noemen (wtf heeft het dan voor zin). Gebruikersgemak wordt door Redmond nog steeds veel belangrijker gevonden dan beveiliging!

En maar beloven dat als je de allerlaatste Enterprise editie van de laatste Windows versie gebruikt, je de meest veilige Windows setup ooit hebt (maar het blijft een poreuze fietsband vol met plakkers). Wie -behalve wellicht karma4- gelooft dit sprookje nog?
01-07-2018, 23:10 door Anoniem
@Bitwiper,

De essentie van het hele verhaal uitgelegd door jou in een notendop. Zou het niet beter kunnen uitleggen. + 1

Toch nog een enkele kanttekening bij jouw verhaal uit mijn ervaringshoek.

Voorbeelden ondersteunen jouw uiteenzetting het duidelijkst - > https://sonarwhal.com/scanner/b26dd705-028b-40da-9613-92a4a359744c vertoont 93 security issues, die niet op zich een kwaadaardige website veroorzaken, maar wel een flink kwetsbare.

Er hoeft maar dit te gebeuren en met 56 sources en 73 sinks, zie:http://www.domxssscanner.com/scan?url=https%3A%2F%2Fwww.corenatv.top en dan is alles wel helemaal duidelijk. Voor de bedreven defacer etc. een appeltje eitje verhaal.

Ik deed zelf destijds NT4 en de kernel tussen allemaal linux mannetjes, die deze MicroSoft server in de transport sector en ziekenhuizen moesten gaan uitrollen. Hen werd niets gevraagd, maar ik heb er wel veel geleerd voor wat ik tegenwoordig predendeer te doen met 3rd party cold reconnaisance website security analysis en fouten jagen (vnml. voor JavaScript op PHP gerelateerde CMSsen). Front-end werk, maar zeer divers en jouw verhaal volgend soms ontmoedigend, omdat er maar niets ten fundamentele veranderen wil. Ja ik ken je frustraties en je overwegend gevoel hierbij, ;)

luntrus
02-07-2018, 10:29 door Tha Cleaner
Door Bitwiper: Waar het fout gaat is dat in Microsoft's cursusmateriaal admins er niet op gewezen worden hoe zij hun domains dicht kunnen timmeren zodat computers (en gebruikers) veilig zijn.
Daar zijn ook gewoon cursussen voor te vinden. Maar het standaard cursusmateriaal gaat daar ook niet zo diep op in. Daar naast kan je security op verschillende lagen doen, waarbij deze niet alleen Microsoft technologie georiënteerd zijn. Je moet het op verschillende lagen doen. Maar een net afgestuurde MCSx admin heeft daar niet de kennis of kunde van.

Terecht, want dan staat de telefoon op de servicedesk roodgloeiend omdat gebruikers niks meer kunnen.
Valt wel mee hoor. Ik weet genoeg implementaties waar security heel hoog is en goed ingeregeld is. Gebruikers kunnen daar ook gewoon hun normale werk doen. Communicatie, inventarisatie en vanaf het design goed implementeren is daarin wel een must.

En maar beloven dat als je de allerlaatste Enterprise editie van de laatste Windows versie gebruikt, je de meest veilige Windows setup ooit hebt (maar het blijft een poreuze fietsband vol met plakkers). Wie -behalve wellicht karma4- gelooft dit sprookje nog?
De laatste versie heeft ook de nieuwste beveiligingsmaatregelen welke de veiligheid zeker verhogen. Maar de basis is en blijft eigenlijk zoals basis cursusmateriaal aangeeft. Zorg er voor dat je de laatste security patches installeert.
02-07-2018, 10:42 door Anoniem
Wel ja! Bijval van Microsoft! Natuurlijk grijpt Microsoft weer elke kans aan om te voorkomen dat ze gewoon het werk moeten doen om hun software veilig te maken! Walgelijk.

LMFAO. Want Microsoft is natuurlijk verantwoordelijk voor slecht geconfigureerde beveiliging. Wanneer duizenden linux systemen besmet worden door nieuwe malware, ga je dan ook roepen dat het walgelijk is, indien linux developers daar een oordeel over hebben ;)

Grootste probleem is dat er veel te veel 'trust' bestaat binnen netwerken, tussen de verschillende systemen. Zo kunnen werkstations elkaar bijvoorbeeld bereiken standaard windows poorten, terwijl ze functioneel die toegang helemaal niet nodig hebben, om maar wat te noemen.

Wat meer 'zero trust' implementeren in het netwerk design kan een hele hoop problemen voorkomen, i.p.v. een setup waarbij achter de firewall alles elkaar vertrouwt.
02-07-2018, 10:45 door Anoniem
Waar het fout gaat is dat in Microsoft's cursusmateriaal admins er niet op gewezen worden hoe zij hun domains dicht kunnen timmeren zodat computers (en gebruikers) veilig zijn.

Niet heel erg moeilijk om uit te vinden hoe dat moet. Als je deskundige en betrokken systeem beheerders en architecten hebt, die weet waar ze mee bezig zijn (en voldoende tijd krijgen voor hun werkzaamheden). Admins die niet weten hoe ze dit soort zaken fatsoenlijk op moeten zetten, die kunnen beter een ander vak kiezen.

Er zijn veel te veel ''IT-ers'' die hun vak simpelweg niet kennen. En ook zijn er teveel werkgevers die voor een dubbeltje op de eerste rang willen zitten, en daarom zo goedkoop mogelijke IT-ers inhuren. Dat gaat ook ten koste van kennis en ervaring.
02-07-2018, 19:19 door Anoniem
Door Anoniem:
Waar het fout gaat is dat in Microsoft's cursusmateriaal admins er niet op gewezen worden hoe zij hun domains dicht kunnen timmeren zodat computers (en gebruikers) veilig zijn.

Niet heel erg moeilijk om uit te vinden hoe dat moet. Als je deskundige en betrokken systeem beheerders en architecten hebt, die weet waar ze mee bezig zijn (en voldoende tijd krijgen voor hun werkzaamheden). Admins die niet weten hoe ze dit soort zaken fatsoenlijk op moeten zetten, die kunnen beter een ander vak kiezen.

Er zijn veel te veel ''IT-ers'' die hun vak simpelweg niet kennen. En ook zijn er teveel werkgevers die voor een dubbeltje op de eerste rang willen zitten, en daarom zo goedkoop mogelijke IT-ers inhuren. Dat gaat ook ten koste van kennis en ervaring.

ja en ze hebben allemaal diezelfde pampiertjes van MS en die vlotte babels :) want je denkt toch niet dat zo een MS certificering heel erg moeilijk gemaakt zal zijn? joh, dan komt er geen hond naar je cursusen en 'opleidingen' toch?
02-07-2018, 20:13 door -karma4
Door Anoniem:
Wel ja! Bijval van Microsoft! Natuurlijk grijpt Microsoft weer elke kans aan om te voorkomen dat ze gewoon het werk moeten doen om hun software veilig te maken! Walgelijk.

LMFAO. Want Microsoft is natuurlijk verantwoordelijk voor slecht geconfigureerde beveiliging. Wanneer duizenden linux systemen besmet worden door nieuwe malware, ga je dan ook roepen dat het walgelijk is, indien linux developers daar een oordeel over hebben ;)

Je begrijpt het niet. Het walgelijke is de bijval die Microsoft gaf.

Door Anoniem: Grootste probleem is dat er veel te veel 'trust' bestaat binnen netwerken, tussen de verschillende systemen. Zo kunnen werkstations elkaar bijvoorbeeld bereiken standaard windows poorten, terwijl ze functioneel die toegang helemaal niet nodig hebben, om maar wat te noemen.

Wat meer 'zero trust' implementeren in het netwerk design kan een hele hoop problemen voorkomen, i.p.v. een setup waarbij achter de firewall alles elkaar vertrouwt.

Niet relevant. Het gaat om de 'bijval'.
02-07-2018, 20:49 door karma4
Door The FOSS: ...
Je begrijpt het niet. Het walgelijke is de bijval die Microsoft gaf.
..
Niet relevant. Het gaat om de 'bijval'.

Waarmee je heel duidelijk aangeeft er alleen maar op uit te zijn om een enkel bedrijf aan te vallen.
Het intereseerd je verder niets of de IT systemen nu veilige zijn of niet.

We trekken hem door. Al die slecht geconfigureerde Lnux IOT PHP is de schuld van Torvald en Stallman. Die zouden vervolgd moeten worden voor al het kwaad wat daarmee aangericht is. Nu spring je denk uit je vel omdat je dat onzin vind.
02-07-2018, 21:24 door -karma4 - Bijgewerkt: 02-07-2018, 21:53
Door karma4:
Door The FOSS: ...
Je begrijpt het niet. Het walgelijke is de bijval die Microsoft gaf.
..
Niet relevant. Het gaat om de 'bijval'.

Waarmee je heel duidelijk aangeeft er alleen maar op uit te zijn om een enkel bedrijf aan te vallen.

Neeee, het is Microsoft die bijval geeft. En daar krijgen ze kritiek op, omdat ze hun eigen zaken niet op orde hebben. Dan past het niet om bijval te geven aan zaken die daarvan afleiden.

Door karma4: Het intereseerd je verder niets of de IT systemen nu veilige zijn of niet.

Watte? (a) je kan niet spellen ('intereseerd') en (b) doe niet zo raar! Zeg 's, hoe kom je nou tot zo'n 'conclusie'.

Door karma4: We trekken hem door. Al die slecht geconfigureerde Lnux IOT PHP is de schuld van Torvald en Stallman. Die zouden vervolgd moeten worden voor al het kwaad wat daarmee aangericht is. Nu spring je denk uit je vel omdat je dat onzin vind.

(a) je kan niet spellen ('onzin vind') en (b) nee, je moet 'm niet 'doortrekken' want daar word je blind van. Het grote verschil hier is dat Torvald en Stallman geen geen 'bijval' geven én dat ze hun zaakjes wel op orde hebben. Dat snapte je toch wel?
04-07-2018, 08:32 door Bitwiper
@luntrus: website-beveiliging is een probleem, maar daar gaat het hier niet over.

Iedereen die wel eens WireShark gestart en goed gekeken heeft, snapt waarom tools als resolver en mimikatz zo eenvoudig slachtoffers kunnen maken. Microsoft zelf schrijft regelmatig dat je vanzelfsprekend (?) een hele reeks poorten van binnen naar buiten in je firewall tussen organisatie en internet moet dichtzetten. Als die poorten een risico vormen (wat inderdaad zo is) betekent dit dat je alle hosts in jouw organisatie moet vertrouwen (wat idioot is).

Ik heb eerder mijn W10 notebook dichtgetimmerd maar na de laatste updates stond ie weer WPAD te blèren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.