image

Malwarebytes: SolarWinds-aanvallers hadden toegang tot interne e-mails

woensdag 20 januari 2021, 09:25 door Redactie, 4 reacties

De aanvallers achter de wereldwijde SolarWinds-aanval hebben toegang gekregen tot interne bedrijfsmails van Malwarebytes, zo heeft het securitybedrijf zelf bekendgemaakt. Malwarebytes maakt geen gebruik van de software van SolarWinds. De aanvallers die voor de SolarWinds-aanval verantwoordelijk worden gehouden wisten echter de Microsoft Office 365- en Azure-omgevingen van het securitybedrijf te compromitteren.

Dat liet Microsoft op 15 december aan Malwarebytes weten. Op dezelfde dag werd ook securitybedrijf CrowdStrike door Microsoft geïnformeerd dat het door de SolarWinds-aanvallers was aangevallen. Het onderzoek dat Malwarebytes na de melding uitvoerde liet zien dat de aanvallers een "e-mailbeveiligingsproduct" binnen de Office 365-omgeving hadden gebruikt waarmee er toegang tot een beperkte hoeveelheid interne bedrijfsmails werd verkregen. Om welk beveiligingsproduct het gaat is niet bekendgemaakt.

Vorige week maakte e-mailbeveiliger Mimecast nog bekend dat aanvallers een certificaat van het bedrijf hadden gebruikt voor aanvallen op Microsoft 365-accounts bij klanten. Organisaties installeren een door Mimecast uitgegeven certificaat op hun server om zo een verbinding tussen de Mimecast-diensten en Microsoft 365 Exchange mogelijk te maken. Een dergelijk certificaat is door aanvallers gecompromitteerd. Microsoft ontdekte dit en waarschuwde het securitybedrijf. Het gecompromitteerde certificaat is vervolgens gebruikt om toegang tot de Microsoft 365-accounts van klanten te krijgen.

Hoe de aanval bij Malwarebytes precies in zijn werk is gegaan is niet bekendgemaakt. Malwarebytes meldt dat de aanvaller toegang tot de Office 365-omgeving wist te krijgen en vervolgens een zelf gesigneerd certificaat toevoegde aan het "principal account". Vervolgens konden de aanvallers zich via het certificaat authenticeren en toegang tot de e-mails van Malwarebytes krijgen. "Voor veel organisaties is het beveiligen van Azure-omgevingen een uitdagende taak, zeker wanneer er met third-party applicaties of resellers wordt gewerkt", zegt Marcin Kleczynski van Malwarebytes. De interne en productiesystemen van het securitybedrijf zijn niet gecompromitteerd.

Reacties (4)
20-01-2021, 12:58 door Anoniem
ja nu we het er toch over hebben waar om de oud certificaten zo als in je browser waarom 2x.
niet te verwijderen ?..in alle browsers nog steeds ondersteund .....wat ik niet begrijpt .....ik bedoel er staan nog steeds oude
certificaten in je browser............
20-01-2021, 17:28 door Anoniem
Ik begin zo langzamerhand het beeld te krijgen dat we beter in het nieuws kunnen brengen welke bedrijven/organisaties niet gecompromitteerd zijn.
20-01-2021, 19:45 door karma4
Door Anoniem: Ik begin zo langzamerhand het beeld te krijgen dat we beter in het nieuws kunnen brengen welke bedrijven/organisaties niet gecompromitteerd zijn.
Dan zou er wel erg weinig nieuws overblijven.
Gun de media hun verzetje.
21-01-2021, 06:16 door Anoniem
All and everything is pn*wed great time, just come to realize this period.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.