image

Datadiefstal bij Noors parlement na inbraak op Exchange-server

donderdag 11 maart 2021, 10:24 door Redactie, 9 reacties
Laatst bijgewerkt: 11-03-2021, 13:57

Het Noorse parlement "Storting" is opnieuw getroffen door een aanval waarbij er data is gestolen. Aanvallers wisten in te breken op de Microsoft Exchange-server van het parlement. De volledige impact van de aanval is nog onbekend en wordt op het moment onderzocht.

Wel staat vast dat er data door de aanvallers is buitgemaakt. "De situatie is op dit moment onduidelijk en de volledige omvang van de schade is nog onbekend", zegt Marianne Andreassen van de Storting. Volgens Tone Wilhelmsen Troen, president van het parlement, laat de aanval zien dat cyberaanvallen grote gevolgen voor het democratische proces kunnen hebben.

In een verklaring laat het Noorse parlement verder weten dat het een zeroday-aanval betreft en het daarom de aanval niet kon voorkomen. Om de aanval uit te voeren hebben aanvallers wel toegang nodig tot de server. Door de Exchange-server achter een vpn te plaatsen zou die niet meteen kunnen worden aangevallen, zo laten experts weten. Om de aanval uit te voeren moet een "untrusted" verbinding naar poort 443 van de server worden opgezet. Door alleen verbindingen vanaf bijvoorbeeld een vpn toe te staan kan dit worden voorkomen.

Vorig jaar wisten aanvallers toegang te krijgen tot e-mailaccounts van Noorse parlementsleden en parlementsmedewerkers. Vooralsnog zijn er geen verbanden tussen die aanval en de inbraak op de Exchange-server gevonden.

Reacties (9)
11-03-2021, 10:53 door Anoniem
Achter een VPN plaatsen en dan kan die niet aangevallen worden?
Hoe krijgen ze mail binnen op die Exchange server dan?

Klinkt meer als "ik heb mijn 16GHz HDMI usb stick in met afwasmiddel beschermd tegen vingerafdruk skimming".
11-03-2021, 11:14 door Anoniem
Door Anoniem: Achter een VPN plaatsen en dan kan die niet aangevallen worden?
Hoe krijgen ze mail binnen op die Exchange server dan?

Klinkt meer als "ik heb mijn 16GHz HDMI usb stick in met afwasmiddel beschermd tegen vingerafdruk skimming".

Deze setup zou mogelijk zijn:
Mail komt binnen op een batch-smtp server, en de exchange server haalt daar de info op.
Personeelsleden maken een vpn-verbinding om met de exchange server te communiceren.
11-03-2021, 11:39 door _R0N_
Door Anoniem: Achter een VPN plaatsen en dan kan die niet aangevallen worden?
Hoe krijgen ze mail binnen op die Exchange server dan?

Klinkt meer als "ik heb mijn 16GHz HDMI usb stick in met afwasmiddel beschermd tegen vingerafdruk skimming".

Vrij simpel, een SMTP gateway er voor zetten waar je ook iets doet met virus/malware etc scannen. Exchange hoeft echt niet aan het internet te hangen, het is wel handig voor mobile devices etc..
11-03-2021, 11:54 door Anoniem
Door Anoniem: Achter een VPN plaatsen en dan kan die niet aangevallen worden?
Hoe krijgen ze mail binnen op die Exchange server dan?

Klinkt meer als "ik heb mijn 16GHz HDMI usb stick in met afwasmiddel beschermd tegen vingerafdruk skimming".

Het heeft niks met het ontvangen van de email te maken, maar met het lezen van de email. De bug zit hem in de toegang tot de email van de gebruikers en niet met het ontvangen van de email. Als de server alleen beschikbaar was doormiddel van een VPN dan moet je eerst een VPN verbinding opzetten voordat je bij de email kan komen en dat was dit inderdaad niet gebeurt.
11-03-2021, 12:10 door Anoniem
Echt he. Dit bedoel ik...

Het zijn net apen met een gouden ring, het is en blijft een lelijk ding.

En de ellende is dit soort shit overal voorkomt ... ICT is niet hip het is een serieus stuk gereedschap waarbij je de handleiding goed moet lezen en specialisten mee moet laat werken. En die specialisten en de uitvoering dient weer gecontroleerd te worden inclusief een APK configuratie keuring op minstens uur basis.

Deze situatie had wel degelijk voorkomen kunnen worden. Zero day of niet. PUNT
11-03-2021, 12:57 door Briolet
Door Anoniem: Het heeft niks met het ontvangen van de email te maken, maar met het lezen van de email. De bug zit hem in de toegang tot de email van de gebruikers en niet met het ontvangen van de email. Als de server alleen beschikbaar was doormiddel van een VPN dan moet je eerst een VPN verbinding opzetten voordat je bij de email kan komen en dat was dit inderdaad niet gebeurt.

Gebruikers willen natuurlijk dan mail 'automatisch' op hun telefoon binnen komt. Was het niet zo dat Nederlandse parlementsleden vaak hun privé account voor mail gebruikten omdat ze het zo'n 'gedoe' vonden om op de mailserver van het parlement in te loggen?

Dat staat los van het gegeven dat het parlement heel transparant moet werken. Wat dat betreft zou er toch niets aan de hand mogen zijn als iedereen hun mail van deze server kan lezen?
11-03-2021, 13:27 door Anoniem
Door de Exchange-server achter een vpn te plaatsen zou die niet meteen kunnen worden aangevallen.
Van wie komt die opmerking? Niet van de noren zo te zien. Van de redactie van security.nl???

Je zet mailbox servers achter een VPN. Maar geen webmail en SMTP servers.

En wanneer vond die aanval bij de Noren plaats? Als het op de dag was dat de zeroday bekend werd dan is hun verweer dat er niks aan te doen was valide. Maar we zijn inmiddels een week verder. Dat geeft het gevoel dat ze gewoon te traag waren.
11-03-2021, 13:34 door walmare
Dit soort issues (incl malware) worden bewust niet meegenomen in de TCO anders kan de productkeuze niet worden gerechtvaardigd want wij kiezen strategisch voor Microsoft en willen ook niet horen hoeveel het allemaal kost.
12-03-2021, 01:12 door Anoniem
Ja, want het Muenchen experiment is mislukt of wordt als dusdanig beschouwd.
Ergo "is afgelegd door d' ambtenaren".

Click en alles moet werken, is het devies, niet hoe of hoe veilig en tegen welke prijs achteraf.
Dus open source (linux) alternatieven blijven op de plank liggen.

Als je al zoveel maal de investering kan terugverdienen blijf je toch bij vendor-lock-in.
Lobby en de beunhazende politici en belangenverstrengelaars.

De verkoper/entrepeneur die begon met MS-DOS moet eerst nog even een wereldbevolking laten 'prikken'.
Van dat experiment komt 20 keer de investering voor hem en zijn eega terug.

Aan mij zal ie het niet verdienen, denk ik zo, maar de aspiraties van de man zijn giga-globaal.
Het gaat direct in uw bloedvaten, zegt hij.

Niet gek gedaan voor een software-verkoper/handelaar.
Sommigen zien hem thans al als de valse vaccin-messias.

We zullen wel zien waar het allemaal toe voert.
Echt rare wereld komen we in te leven.

Nooit gedacht dit nog mee te moeten maken.

Joris Goedbloed
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.