Nieuws

Deel broncode Exchange en Azure gedownload door SolarWinds-aanvallers

donderdag 18 februari 2021, 17:37 door Redactie, 15 reacties

De aanvallers achter de SolarWinds-backdoor die toegang tot systemen van Microsoft wisten te krijgen hebben een gedeelte van de broncode van Exchange, Azure en Intune gedownload, zo heeft het techbedrijf vandaag bekendgemaakt. Op 31 december liet Microsoft al weten dat de aanvallers broncode van het bedrijf hadden ingezien. Uit onderzoek bleek dat de aanvallers geen aanpassingen aan de code hebben doorgevoerd.

In de vandaag verschenen update laat Microsoft weten dat de aanvallers bij de meeste benaderde code repositories slechts een beperkt aantal bestanden bekeken. Bij een "beperkt aantal" repositories ging de toegang verder en is er broncode van onderdelen gedownload. Het gaat dan om onderdelen van Azure, Intune en Exchange.

Uit de zoekopdrachten van de aanvallers blijkt volgens Microsoft dat ze op zoek waren naar 'secrets' in de code. Het ontwikkelbeleid van Microsoft staat echter geen geheimen in de code toe en het techbedrijf zegt hier ook op te controleren. Naar aanleiding van de aanval heeft Microsoft een extra controle uitgevoerd waaruit blijkt dat de repositories in kwestie hieraan voldeden en geen productie credentials bevatten.

Volgens het techbedrijf werd het eerste broncodebestand eind november vorig jaar door de aanvallers ingezien. De toegang stopte nadat het gecompromitteerde account dat de aanvallers gebruikten werd beveiligd. Begin januari van dit jaar probeerden de aanvallers nog op het account in te loggen, wat toen niet meer lukte. Daarna stopten de pogingen.

Microsoft stelde eerder al dat het inzien van de broncode niet voor een verhoogd risico zorgt. "We vertrouwen niet op het geheimhouden van broncode voor de veiligheid van producten, en onze dreigingsmodellen gaan ervan uit dat aanvallers kennis van de broncode hebben. Het bekijken van broncode zorgt dan ook niet automatisch voor een verhoogd risico", aldus het techbedrijf.

Belgische politie kampt met tekort aan gespecialiseerde "cyberspeurders"

Politie houdt verdachten aan voor grootschalige WhatsAppfraude

Reacties (15)

18-02-2021, 19:43 door walmare

Ik zou nog maar eens goed in de git history kijken. Dat vergeten de meesten.

18-02-2021, 21:15 door Anoniem

Ik voel weer een zero day probleem in exchange aankomen, omdat crackers toegang hebben gehad en ethical hackers niet.
Microsoft kan maar beter het boeltje open source maken.

19-02-2021, 09:42 door Anoniem

"Het ontwikkelbeleid van Microsoft staat echter geen geheimen in de code toe" zo he, Wat geavanceerd zijn ze daar bij ms.

19-02-2021, 09:45 door Anoniem

Volgens mij is het motto bij ms toch "Security through obscurity", nu ineens niet meer?

19-02-2021, 09:47 door Anoniem

Door Anoniem: Ik voel weer een zero day probleem in exchange aankomen, omdat crackers toegang hebben gehad en ethical hackers niet.
Microsoft kan maar beter het boeltje open source maken.

MS kan niets opensource maken, dan is hun monopolie positie weg, en hebben ze niets meer te doen. Enige bestaansrecht dat ms geniet is monopolie. Ze hebben 0,0 toegevoegde waarde. Wanneer hebben ze wat innoverends gedaan?

19-02-2021, 12:10 door Anoniem

Door Anoniem: "Het ontwikkelbeleid van Microsoft staat echter geen geheimen in de code toe" zo he, Wat geavanceerd zijn ze daar bij ms.

Farts and f-bombs: see the hidden jokes in Microsoft's early code
https://www.theverge.com/2014/3/26/5549208/microsoft-early-code-contains-hidden-jokes

19-02-2021, 13:44 door Anoniem

Door Anoniem:

Door Anoniem: "Het ontwikkelbeleid van Microsoft staat echter geen geheimen in de code toe" zo he, Wat geavanceerd zijn ze daar bij ms.

Farts and f-bombs: see the hidden jokes in Microsoft's early code
https://www.theverge.com/2014/3/26/5549208/microsoft-early-code-contains-hidden-jokes

O dan wil ik die versleutelde telemetrie code weleens inzien.

19-02-2021, 18:43 door karma4

Door Anoniem: MS kan niets opensource maken, dan is hun monopolie positie weg, en hebben ze niets meer te doen. Enige bestaansrecht dat ms geniet is monopolie. Ze hebben 0,0 toegevoegde waarde. Wanneer hebben ze wat innoverends gedaan?

Het bestaansrecht dat MS heeft is een betere dienstverlening dan wat in de open source wereld gangbaar is.
Iedereen spring tegenwoordig op Azure en Power-BI. Noem eens iets wat daarmee vergelijkbaar is?

Door Anoniem: O dan wil ik die versleutelde telemetrie code weleens inzien.

Alleen beschikbaar voor vertrouwde partijen zoals interne medewerkers en geslecteerde partners. Je hoort er niet bij. Niet veel anders dan in de open source wereld waar bug meldingen alleen voorbehouden zijn aan zij die meer gelijk zijn dan anderen.

19-02-2021, 22:45 door walmare

Door karma4:

Door Anoniem: O dan wil ik die versleutelde telemetrie code weleens inzien.

De vraag van Anoniem was "Wanneer hebben ze wat innoverends gedaan?" Jouw antwoord is (typisch karma4) open source bashen met een mythe die 10 jaar geleden al werd ge-debunked https://www.pcworld.com/article/205147/fact_or_fiction_top_8_linux_myths_debunked.html
Je 2e opmerking is 1 grote misleiding waarbij je source code vergelijkt met belangrijke bug reserveringen die even onder de pet worden gehouden tot er een fix is.
Dat je niet 1 MS innovatie weet te noemen komt waarschijnlijk omdat anoniem toch gelijk had?

20-02-2021, 11:18 door [Account Verwijderd] - Bijgewerkt: 20-02-2021, 11:19

Door karma4:

Amazon AWS. Azure en Power-BI zijn niet meer dan knullig gerommel in de marge. Wat verwacht je ook anders van een fabrikant van software voor lichte consumententoepassingen.

20-02-2021, 14:50 door Anoniem

Geselecteerde premier contacts en overheden hebben toegang tot de code.:)

Niet dat je er veel mee opschiet..

20-02-2021, 19:19 door karma4

Door Toje Fos: Amazon AWS. Azure en Power-BI zijn niet meer dan knullig gerommel in de marge. Wat verwacht je ook anders van een fabrikant van software voor lichte consumententoepassingen.

Daar laat je zien totaal niet in de gaten te hebben wat er in de professionele markt aan het gebeuren is.
Heb je nog volledig gemist dat Azure en Power BI niet voor de consumentenmarkt bedoel is, iets te complex.
Als je naar het gerommeld met IOT linux kijkt dan is dat de consumentenmarkt en niet veilig te krijgen.

20-02-2021, 21:57 door walmare - Bijgewerkt: 20-02-2021, 22:12

Door karma4:

Door Toje Fos: Amazon AWS. Azure en Power-BI zijn niet meer dan knullig gerommel in de marge. Wat verwacht je ook anders van een fabrikant van software voor lichte consumententoepassingen.

Azure is geen windows innovatie maar consumenten en MKB cloud. Azure netwerk is trouwens gebouwd met Linux.
Over IoT rommel gesproken. Hier een mooi recent Linux LoT voorbeeld: https://www.zdnet.com/article/to-infinity-and-beyond-linux-and-open-source-goes-to-mars/
Hier heb ik nog een Azure privacy issue (MS interpretatie van customer data )voor je omdat je het zo belangrijk vindt:
https://www.zdnet.com/article/microsoft-azure-and-canonical-ubuntu-linux-have-a-user-privacy-problem/

22-02-2021, 12:01 door Anoniem

Door karma4:

Betere dienstverlening?????? :D Bel ms in hoofddorp eens, ze weten daar niets, verwijzen altijd door naar een VAR. Mijn technet account is niet goed gemigreerd naar QA. Ik heb niet eens een email adres om te vragen of ze het kunnen fixen.

Ik kan je wel vertellen dat ik met meer kundige mensen in contact ben, op mailinglists van opensource projecten dan bij ms.

En dat QA heeft niet eens mensen van microsoft dat vragen beantwoord, want dan zijn ze bang dat ze aansprakelijk zijn.

Ben jij ooit instaat geweest om met ms development te discussieren over een een fout design, wat ze vervolgens dan corrigeren?

Dat Azure is toch gewoon een CO. ~10 jaar daarvoor bestond mesos al.

24-02-2021, 00:33 door [Account Verwijderd]

Door karma4:

Door Toje Fos: Amazon AWS. Azure en Power-BI zijn niet meer dan knullig gerommel in de marge. Wat verwacht je ook anders van een fabrikant van software voor lichte consumententoepassingen.

Daar laat je zien totaal niet in de gaten te hebben wat er in de professionele markt aan het gebeuren is.

Daar laat je zien totaal niet te beseffen dat je in de professionele markt geen software voor lichte consumententoepassingen moet gebruiken.

Door karma4:Heb je nog volledig gemist dat Azure en Power BI niet voor de consumentenmarkt bedoel is, iets te complex.

Het is niet bedoeld voor de consumentenmarkt maar het bedrijf dat het aanbiedt staat bekend om haar software voor lichte consumententoepassingen. De professional weet dat dit hen volledig diskwalificeert voor de professionele markt.

Door karma4: Als je naar het gerommeld met IOT linux kijkt dan is dat de consumentenmarkt en niet veilig te krijgen.

[Azure, Power BI] ---> IoT ? #WTF?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer