Nieuws

Australische overheid ziet toename van password spraying

vrijdag 9 augustus 2019, 11:11 door Redactie, 5 reacties

De Australische overheid heeft bedrijven en organisaties in het land gewaarschuwd voor password spraying, aangezien het een toename van deze aanval ziet om toegang tot webmail, Active Directory Federated Services (ADFS) of cloudgebaseerde diensten zoals Office 365 te krijgen.

Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen probeert een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval opgemerkt.

Volgens het Australische Cyber Security Centre (ACSC) vindt er een groot aantal password spraying-aanvallen tegen Australische organisaties plaats. Om detectie van dergelijke aanvallen te vergroten kunnen organisaties bepaalde regels in hun Security Information and Event Management (SIEM) oplossing of soortgelijk product aanmaken. Er moet dan worden gekeken naar een groot inlogpogingen gedurende een bepaalde tijd, een groot aantal verkeerde gebruikersnamen waarmee is geprobeerd in te loggen, een groot aantal geblokkeerde accounts en het aantal mislukte inlogpogingen per ip-adres.

Om de aanvallen te voorkomen adviseert het ACSC om multifactorauthenticatie te implementeren op alle systemen met externe toegang, het gebruik van complexe wachtwoorden via een policy te verplichten, wachtwoorden van getroffen accounts te resetten, geo blocking, ip-whitelisting of vpn's in te voeren en monitoring uit te breiden.

Google blokkeert dagelijks 100 miljoen phishingmails

Microsoft waarschuwt opnieuw voor BlueKeep-kwetsbaarheid

Reacties (5)

09-08-2019, 11:49 door Anoniem

Voor hen die de verschillen met andere wachtwoord aanvallen zijn vergeten:

Password bruteforce: 1 website, 1 account, meerdere wachtwoorden
Password spraying: 1 website, meerdere accounts, 1 wachtwoord
Credential stuffing: meerdere websites, meerdere accounts, gekraakte/gelekte wachtwoorden

Zolang je een uniek wachtwoord gebruikt (of zoals het hoort gebruik maakt van WebAuthn) heb je niets te vrezen.

09-08-2019, 14:43 door Anoniem

Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen.

Weer wat geleerd.
Ik stond al op het punt om naar de winkel te gaan voor een buske password spray.

09-08-2019, 15:51 door Anoniem

"Om detectie te voorkomen probeert een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval opgemerkt."

uhm... bv fail2ban kijkt gewoon naar het aantal mislukte inlogpogingen gebaseerd op ip adres...
dus 5 keer fout en block.. ongeacht met welke usernaam je het aan het proberen bent.

dus zie niet in hoe je met deze tactiek jezelf zou verbergen.

09-08-2019, 17:57 door Briolet

Door Anoniem: uhm... bv fail2ban kijkt gewoon naar het aantal mislukte inlogpogingen gebaseerd op ip adres...
dus 5 keer fout en block.. ongeacht met welke usernaam je het aan het proberen bent.

Jij gaat er van uit dat alle accounts op één server draaien. Maar het kan best zo zijn dat ze een lijst van 10000 servers aflopen en dan slechts eens in de zoveel tijd bij jouw server komen. Meestal reset het aantal pogingen na een bepaalde tijd en proberen ze zo onder de radar te blijven. Ik heb het op mijn mailserver ook wel gezien dat er maar 1 poging per uur kwam en daardoor onder mijn ingestelde blokkeringsdrempel bleef. Maar bij 1 poging per uur gaat hel niet snel lukken bij een redelijk wachtwoord.

Een paar week geleden is er nog een complexere aanval gestart op nas systemen van diverse merken. Daar werd een botnet ingezet en kwam de inlogpoging elke keer van een ander IP adres.

10-08-2019, 10:52 door Anoniem

Door Anoniem:
uhm... bv fail2ban kijkt gewoon naar het aantal mislukte inlogpogingen gebaseerd op ip adres...
dus 5 keer fout en block.. ongeacht met welke usernaam je het aan het proberen bent.

En wat nou als ie het via een botnet doet dus allemaal verschillende IP adressen?
Het enige wat je dan nog kunt detecteren is een opvallend hoog aantal mislukte inlogpogingen.
En wat dan? Je hele service plat leggen, maar dat is ook zo wat. En geeft de aanvaller misschien het
idee om het als chantage middel te gebruiken.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer