Nieuws
image

Microsoft Defender blokkeert besmette SolarWinds-bestanden

woensdag 16 december 2020, 09:34 door Redactie, 7 reacties

Microsoft Defender blokkeert vanaf vandaag bestanden van softwarebedrijf SolarWinds die door aanvallers van een backdoor zijn voorzien. Dat heeft Microsoft bekendgemaakt. Het gaat om bestanden van het SolarWinds Orion Platform. Afgelopen zondag werd bekend dat aanvallers toegang tot systemen van SolarWinds hadden gekregen en zo updates voor het platform van backdoors konden voorzien.

Microsoft bracht zondag ook updates voor Defender uit waarmee organisaties voor de besmette bestanden werden gewaarschuwd. Vanaf vandaag zal de antivirussoftware die ook blokkeren. Hierbij worden bestanden in quarantaine geplaatst, ook wanneer het proces draait. "We beseffen dat dit een serverproduct is dat in klantomgevingen draait, dus het is mogelijk niet eenvoudig om het product buiten gebruik te stellen. Desondanks blijft Microsoft adviseren dat klanten deze servers isoleren en onderzoeken", zo laat het Microsoft 365 Defender Threat Intelligence Team weten.

In het geval organisaties niet tijdelijk zonder hun SolarWinds-oplossing kunnen moeten ze maatregelen nemen om ervoor te zorgen dat de besmette bestanden niet in quarantaine worden geplaatst.

Reacties (7)
16-12-2020, 10:14 door Robby Swartenbroekx
het lijkt erop dat verschillende AV producten niet enkel de besmette/aangetaste files blokkeren, maar veel meer files die niet gecompromiteerd zijn, maar wel met het ontwikkelcertificaat van Solarwinds getekend zijn. Ik heb nog niet met Windows Defender expliciet kunnen testen, maar ik hoop dat ze het kind niet samen met het badwater weggooien hiermee. Zij maken namelijke nog veel meer producten dan Orion en het zou zonde zijn dat halve oplossingen van AV producten meer schade bij veel meer klanten berokkenen van de feitelijke hacks aan schade hebben opgeleverd.
16-12-2020, 11:58 door MathFox
Door Robby Swartenbroekx: het lijkt erop dat verschillende AV producten niet enkel de besmette/aangetaste files blokkeren, maar veel meer files die niet gecompromiteerd zijn, maar wel met het ontwikkelcertificaat van Solarwinds getekend zijn.
Het is correct dat je jet certificaat na de hack niet meer kunt vertrouwen, maar blokkeren of verwijderen van files alleen omdat het certificaat niet meer vertrouwd wordt zou je alleen op niveau "paranoia" van de virusscanner moeten doen.
Ik draai een virusscanner nooit in "automatische" mode, ik wil een rapport en ga daarna zelf kijken wat er opgeruimd mag worden.
16-12-2020, 12:03 door [Account Verwijderd]
The SolarWinds® Orion® Platform is a powerful, scalable infrastructure monitoring and management platform designed to simplify IT administration for on-premises, hybrid, and software as a service (SaaS) environments in a single pane of glass.

Je kan het zo mooi verwoorden als je maar wilt maar je kan niet bouwen op drijfzand (*)!


(*) oefening voor de enigszins deskundige lezer
16-12-2020, 12:04 door Anoniem
We beseffen dat dit een serverproduct is dat in klantomgevingen draait, dus het is mogelijk niet eenvoudig om het product buiten gebruik te stellen
Dat het in ze opkomt is al ernstig genoeg. Microsoft denkt met je mee maar als het wordt verkloot geven ze volgens de EULA niet thuis. Er is al eens eerder een kernel.exe in quarantaine geplaatst.
16-12-2020, 12:47 door Anoniem
Door Robby Swartenbroekx: het lijkt erop dat verschillende AV producten niet enkel de besmette/aangetaste files blokkeren, maar veel meer files die niet gecompromiteerd zijn, maar wel met het ontwikkelcertificaat van Solarwinds getekend zijn. Ik heb nog niet met Windows Defender expliciet kunnen testen, maar ik hoop dat ze het kind niet samen met het badwater weggooien hiermee. Zij maken namelijke nog veel meer producten dan Orion en het zou zonde zijn dat halve oplossingen van AV producten meer schade bij veel meer klanten berokkenen van de feitelijke hacks aan schade hebben opgeleverd.
Maar dat gaat toch altijd zo? Als er iets gehacked is wordt er vanuit gegaan dat de hele wereld vergaan is.
Of dat reeel is dat boeit helemaal niet. SolarWinds zal een nieuw certificaat moeten maken en alles wat ze ooit gemaakt
hebben opnieuw signen en distribueren, om iedereen weer tevreden te krijgen. Het is niet anders (kennelijk).
16-12-2020, 13:09 door karma4
Door Toje Fos: (*) oefening voor de enigszins deskundige lezer
Een deskundige IT specialist kijkt wat het product is en hoe het opgebouwd is.
https://www.solarwinds.com/solutions/orion
"Organizations of all sizes have complex IT environments that make managing IT challenging.
We design our products to be powerful and easy to use, and many are built on a common technology platform, the SolarWinds® Orion Platform, enabling you to implement our products individually and grow as you need. They’re highly scalable, and our integrated network and systems performance data is combined from multiple parts of the tech stack to provide a single, unified, application-centric view and experience."

wat verder:
Key Features
Baseline server and application configurations on Windows and Linux
Alert and report on deviations from the baseline in near real time
See who’s making configuration changes on servers or applications
Compare current configurations to previous versions
Correlate configuration changes with performance metrics Track server hardware and software inventory[/i[

Dat een desktop het nieuws haalt omdat het zichtbaar is, dat is logisch. Die achterkant van servers en de toegang tot de ontwikkelstraten, dat is het werkelijke issue. Aanpassingen in afgetekende code, war is de controle?
17-12-2020, 14:01 door [Account Verwijderd]
Door karma4:
Door Toje Fos: (*) oefening voor de enigszins deskundige lezer
Een deskundige IT specialist kijkt wat het product is en hoe het opgebouwd is.
...

Precies dit soort van redenatie ligt ten grondslag aan het probleem. De werkelijke oorzaak mag niet worden benoemd want er wordt te veel geld mee verdiend. Zogenaamd objectieve beschouwingen blijken een verborgen financiële agenda te hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure