Nieuws

CISA: slechte cyberhygiëne geeft aanvallers toegang tot clouddiensten

donderdag 14 januari 2021, 10:06 door Redactie, 6 reacties

Aanvallers maken misbruik van de slechte cyberhygiëne van organisaties om toegang tot hun clouddiensten te krijgen, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het federale agentschap voor cybersecurity is bekend met meerdere organisaties waarvan de cloudomgeving werd gecompromitteerd omdat de digitale beveiliging te wensen overliet.

In één geval maakte de aangevallen organisatie geen gebruik van een virtual private network (vpn) om medewerkers toegang tot het bedrijfsnetwerk te geven. De terminalserver van de organisatie bevond zich wel achter de firewall. Vanwege het thuiswerken was echter poort 80 opengezet om de terminalserver voor medewerkers toegankelijk te maken. Aanvallers maakten hiervan misbruik en wisten door middel van een bruteforce-aanval toegang tot de server te krijgen.

Ook ziet het CISA nog altijd succesvolle phishingaanvallen tegen organisaties. De aanvallers sturen phishingmails die naar een bestandsopslagdienst lijken te wijzen. In werkelijkheid gaat het om een phishingsite. De gegevens die slachtoffers daar invoeren worden vervolgens gebruikt om hun accounts over te nemen. Vanuit deze accounts sturen de aanvallers phishingmails naar andere personen in de aangevallen organisatie.

Aanvallers wijzigen in gecompromitteerde e-mailaccounts ook bestaande doorstuurregels die gebruikers hadden ingesteld om e-mail van bepaalde afzenders naar hun persoonlijke account door te sturen. De aangepaste regel stuurt vervolgens deze e-mails door naar een e-mailadres van de aanvaller. Verder heeft het CISA ook aanvallen gezien waarbij de multifactorauthenticatie werd omzeild. Hierbij zouden de aanvallers browsercookies hebben gestolen om door middel van een "pass-the-cookie" aanval de multifactorauthenticatie te omzeilen.

"Dit soort aanvallen doen zich geregeld voor wanneer het personeel van getroffen organisaties thuiswerkt en een combinatie van bedrijfslaptops en persoonlijke apparaten gebruikt om de respectievelijke clouddiensten te benaderen. Ondanks het gebruik van securitytools was er bij de getroffen organisaties meestal sprake van een slechte cyberhygiëne waardoor aanvallers succesvol konden toeslaan", aldus het CISA.

Apple laat firewalls voor macOS weer al het netwerverkeer filteren

Politie stuurt sms naar 750 contacten in telefoons van vermeende drugsdealers

Reacties (6)

14-01-2021, 10:15 door Anoniem

terminal server port 80? http?

14-01-2021, 10:38 door dvanleur

Door Anoniem: terminal server port 80? http?

De webinterface van een terminal server kan draaien op poort 80.

14-01-2021, 11:41 door Anoniem

Kunnen we alsjeblieft stoppen met het woord cyberhygiëne

14-01-2021, 12:07 door Anoniem

En RDP mag natuurlijk ook zelf op poort 80 draaien. Wordt soms gedaan als iemand moet RDP'en in een omgeving die alleen 80 en 443 uitgaand toestaat. Dat heeft overigens verder niets te maken met een bruteforce want die kun je sowieso doen op RDP als RDP open en bloot op het Internet staat en je geen 2FA hebt. Zie tooltjes zoals crowbar.

14-01-2021, 12:26 door Anoniem

Cyberhygiëne? Mondkapje op, 3 meter afstand houden, cybervaccinatie wellicht?
Men slaat, zoals anoniem van 11:41 aangeeft, al helemaal door.

Gewoon een kwestie van geen goede connectie-beveiliging, downgrade aanvallen mogelijk en dergelijke zaken.
Onvoldoende header security, sri, en andere veiligheidsmaatregelen,
vanwege "voor een dubbeltje op de eerste rang willen zitten of opzettelijke onophoudelijke "security through obscurity".

Die de besluiten nemen hebben er geen verstand van meestal en degenen, die er verstand van hebben,
tellen vrijwel niet mee.

Ik word hier zo moe van, dat die pn*wed toestand maar aanhoudt en er nooit bij wordt verteld,
dat het vaak opzettelijk wordt gedaan.

Corruptie en dit gepland en wel top-down of er moet sprake zijn van grenzeloze incompetentie
(kan ook weer opzettelijk zijn).

Cyberhygiene gaat je niet helpen binnen een bijkans open main stream cyberwar.

Er verandert namelijk niets in het algemene veiligheidsbeeld op de Interwebz infrastructuur.
Dat moet je te denken geven. Zij weten alles en wij horen slechts iets op "need to know" basis.
Ken er voldoende feiten voor.

luntrus

14-01-2021, 21:06 door Anoniem

de rdp gateway op poort 80 unencrypted draaien omdat een gratis certificaat te duur was? Van mij krijg je dan ech geen medelijden als er dan misbruik van gemaakt is.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer