image

Amerikaanse overheid beschrijft in detail succesvolle aanval op eigen instantie

maandag 28 september 2020, 11:42 door Redactie, 7 reacties

Het netwerk van een Amerikaanse federale overheidsinstantie is succesvol met malware geïnfecteerd nadat aanvallers toegang tot inloggegevens van Microsoft Office 365- en domeinbeheerderaccounts kregen, zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security in een uitgebreide analyse weten.

In de analyse omschrijft het CISA stap voor stap hoe de aanvallers te werk gingen. Het is echter onduidelijk hoe de Microsoft Office 365- en domeinbeheerderaccounts werden gecompromitteerd. Mogelijk werd dit gedaan via een ongepatchte Pulse Secure VPN-server. Een kwetsbaarheid in deze software, aangeduid als CVE-2019-11510, maakt het mogelijk voor aanvallers om op afstand bestanden buit te maken, waaronder wachtwoorden.

Het CISA laat weten dat Amerikaanse overheidsinstanties op grote schaal zijn aangevallen via de betreffende Pulse Secure-kwetsbaarheid. Nadat de aanvaller bij de niet nader genoemde federale overheidsinstantie toegang kreeg bracht hij eerst het netwerk in kaart. Vervolgens werd er een SSH-tunnel / reverse SOCKS-proxy opgezet om toegang tot het netwerk te behouden. Ook maakte de aanvaller een lokaal account aan waarmee er allerlei data van het netwerk kon worden gestolen.

In de analyse geeft het CISA verschillende Indicators of Compromise (IOC's). Het gaat onder andere om ip-adressen en bestandsnamen waarmee organisaties kunnen vaststellen of een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk aanwezig is of was. Tevens adviseert het CISA om netwerkverkeer op ongewone activiteiten te monitoren, zoals ongewone open poorten, grote bestanden die vanaf het netwerk naar buiten worden verstuurd en onverwachte en niet-goedgekeurde protocollen waarmee verbinding naar het internet wordt gemaakt.

Image

Reacties (7)
28-09-2020, 12:01 door [Account Verwijderd]
En daar gaan we weer. In dit geval is het Microsoft Office 365. Ze leren het nooit om over te gaan naar Libre Office.
28-09-2020, 12:50 door Anoniem
Door donderslag: En daar gaan we weer. In dit geval is het Microsoft Office 365. Ze leren het nooit om over te gaan naar Libre Office.
Beetje jammer als dat de enige take-away is die je uit zo'n interessant stuk haalt.
28-09-2020, 12:57 door Anoniem
En daar gaan we weer. In dit geval is het Microsoft Office 365. Ze leren het nooit om over te gaan naar Libre Office.

En dat is nodig, want... ?

Ook Libre Office en Open Office kunnen aangevallen worden. Daarnaast kost het weliswaar minder m.b.t. aanschaf ; veel medewerkers van bedrijven zijn volledig gewend aan Microsoft Office. Omscholing kost geld. Minder productiviteit doordat men met andere applicaties moet leren omgaan kost ook geld.

De total cost of ownership is bij open source niet per definitie lager dan bij closed source. Dat je voorkeur ligt bij Libre Office (bij mij ook) dat impliceert niet dat iedereen over *moet* stappen op Libre Office vanwege jouw (of mijn) voorkeur.
28-09-2020, 12:58 door Anoniem
Alsof ze opeens onhackbaar worden indien je Office 365 vervangt door een willekeurig ander pakket. Voor hackers ideaal, IT-ertjes die denken dat open source bijvoorbeeld onkwetsbaarheid impliceert. Nogal naief.
28-09-2020, 15:46 door Anoniem
Door Anoniem:
Door donderslag: En daar gaan we weer. In dit geval is het Microsoft Office 365. Ze leren het nooit om over te gaan naar Libre Office.
Beetje jammer als dat de enige take-away is die je uit zo'n interessant stuk haalt.

Ik kan je als meelezer nog wel een andere reden geven om Libre office te willen gebruiken.
Namelijk data-integriteit van databases en spreadsheet bestanden.
Daar waar dergelijke bestanden ongeveer 1,5 Mb groot worden en bewerkingen van data verdeeld over groot aantal rijen met een paar slagen verricht raken die bestanden corrupt in Microsoft Office en stopt het laden na het selecteren en openen van de bestanden maar kan je ze wel alsnog laden, herstellen en nabewerken in Libre Office omgeving.
Als je diezelfde bestanden daarna opnieuw in Microsoft Office inlaadt snapt dat pakket het opeens weer wel.
De downwards compatibiliteit van raketten van Libre Office is fundamenteel ook meer op orde dan bij Microsoft.
Gelukkig.
28-09-2020, 18:58 door Anoniem
Door Anoniem: Alsof ze opeens onhackbaar worden indien je Office 365 vervangt door een willekeurig ander pakket.
Het ging helemaal niet om 'Office 365' zelf, maar om 'inloggegevens van Microsoft Office 365', je weet wel zo'n cloud-account.
29-09-2020, 09:20 door Anoniem
Door Anoniem:
Door Anoniem:
Door donderslag: En daar gaan we weer. In dit geval is het Microsoft Office 365. Ze leren het nooit om over te gaan naar Libre Office.
Beetje jammer als dat de enige take-away is die je uit zo'n interessant stuk haalt.

Ik kan je als meelezer nog wel een andere reden geven om Libre office te willen gebruiken.
Namelijk data-integriteit van databases en spreadsheet bestanden.
Daar waar dergelijke bestanden ongeveer 1,5 Mb groot worden en bewerkingen van data verdeeld over groot aantal rijen met een paar slagen verricht raken die bestanden corrupt in Microsoft Office en stopt het laden na het selecteren en openen van de bestanden maar kan je ze wel alsnog laden, herstellen en nabewerken in Libre Office omgeving.
Als je diezelfde bestanden daarna opnieuw in Microsoft Office inlaadt snapt dat pakket het opeens weer wel.
De downwards compatibiliteit van raketten van Libre Office is fundamenteel ook meer op orde dan bij Microsoft.
Gelukkig.

Toch is Libre Office niet zo compatible met Microsoft Office als het lijkt. Ik heb jarenlang met beide gewerkt en als je bestanden die aangemaakt zijn in Libre Office opstuurt krijg je zo nu en dan te horen dat de opmaak niet goed overgekomen is. Dat kan je niet heel vaak doen voordat de goodwill aan de andere kant verdwenen is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.