image

Microsoft ontdekt backdoor voor Active Directory Federation Services-servers

dinsdag 28 september 2021, 10:41 door Redactie, 10 reacties

Microsoft heeft een backdoor ontdekt voor Active Directory Federation Services (AD FS)-servers die volgens het techbedrijf wordt gebruikt door de aanvallers achter de SolarWinds-aanval. AD FS is een door Microsoft ontwikkelde oplossing die single sign-on toegang tot systemen en applicaties binnen het organisatienetwerk biedt.

Zodra de aanvallers een AD FS-server hebben gecompromitteerd installeren ze de backdoor, die Microsoft "FoggyWeb" noemt. Via de backdoor behouden de aanvallers toegang tot het systeem en stelen ze onder andere de configuratiedatabase van de server, alsmede het certificaat voor het signeren van tokens. Ook kunnen de aanvallers via de backdoor, die in de context van het primaire AD FS-proces draait, aanvullende onderdelen downloaden en uitvoeren.

"De FoggyWeb-backdoor fungeert als een passieve en persistente backdoor die misbruik van Security Assertion Markup Language (SAML)-tokens toestaat. De backdoor configureert http-listeners voor door de aanvaller gedefinieerde uri's die de structuur nabootsen van legitieme uri's, gebruikt door de AD FS-installatie van de getroffen organisatie. Deze listeners monitoren alle inkomende http get en post requests vanaf het internet/intranet verstuurd naar de AD FS-server en onderscheppen http requests die overeenkomen met de door de aanvaller opgegeven uri-patronen", legt Microsoft uit in een analyse van de backdoor.

Volgens het techbedrijf is het gebruik van de backdoor voor het eerst in april van dit jaar waargenomen. Organisaties waar de backdoor is aangetroffen zijn door Microsoft gewaarschuwd. In de nu gepubliceerde analyse staan daarnaast verschillende indicators of compromise (IOC's) waarmee organisaties kunnen kijken of de backdoor ook in hun omgeving aanwezig is. Daarnaast worden verschillende adviezen gegeven voor het beveiligen van AD FS-servers, waaronder het gebruik van een wachtwoord van minimaal 25 karakters voor het AD FS-service-account.

Image

Reacties (10)
28-09-2021, 11:00 door Anoniem
nou nou zeg weer iets uit eigen microsoft keuken ? is dit nou een backdoor uit eigen beweging????
28-09-2021, 11:07 door Anoniem
Mooi dat die backdoor ontdekt is.
Het probleem is en blijft natuurlijk dat die blijkbaar te installeren is...
28-09-2021, 11:26 door [Account Verwijderd] - Bijgewerkt: 28-09-2021, 12:06
Als een systeem eenmaal gecompromitteerd is dan kan je eigenlijk bijna niet anders dan het volledig, vanaf de grond, opnieuw opbouwen. Want er zijn zoveel mogelijkheden om backdoors, time bombs, etc. te installeren dat de kans groot is dat je het mist. De backdoor uit het artikel is een voorbeeld daarvan) in eerste instantie blijkbaar gemist en nu komt het pas naar boven).

Het devies is dus eigenlijk een volledige wipe+reinstall van de getroffen servers en misschien zelfs van het volledige netwerk waarmee ze verbonden zijn (want wie zegt dat de hackers niet stiekem zijn doorgestoten naar andere computers op het netwerk?).
28-09-2021, 11:29 door _R0N_
Door Toje Fos: Als een systeem eenmaal gecompromitteerd is dan kan je eigenlijk bijna niet anders dan het volledig, vanaf de grond, opnieuw opbouwen. Want er zijn zoveel mogelijkheden om backdoors, time bombs, etc. te installeren dat de kans groot is dat je het mist. De backdoor uit het artikel is een voorbeeld daarvan )in eerste instantie blijkbaar gemist en nu komt het pas naar boven).

Het devies is dus eigenlijk een volledige wipe+reinstall van de getroffen servers en misschien zelfs van het volledige netwerk waarmee ze verbonden zijn (want wie zegt dat de hackers niet stiekem zijn doorgestoten naar andere computers op het netwerk?).

Inderdaad en ook de backups kun je niet vertrouwen. Opnieuw beginnen en je documenten controleren en veiligstellen.
28-09-2021, 11:32 door Anoniem
Grappig dat de backdoor weer "DLL search order hijacking" misbruikt. Als je zulke bugs aan MS doorgeeft doen ze er niks mee. Alleen als je dit remote kunt triggeren willen ze het oplossen. Zelfs voor hun eigen producten lijken ze dit niet in een test-strategie opgenomen te hebben want ze duiken nog steeds op.
28-09-2021, 11:57 door [Account Verwijderd] - Bijgewerkt: 28-09-2021, 11:57
Door _R0N_:
Door Toje Fos: ... Het devies is dus eigenlijk een volledige wipe+reinstall van de getroffen servers en misschien zelfs van het volledige netwerk waarmee ze verbonden zijn (want wie zegt dat de hackers niet stiekem zijn doorgestoten naar andere computers op het netwerk?).

Inderdaad en ook de backups kun je niet vertrouwen. Opnieuw beginnen en je documenten controleren en veiligstellen.

Backups was ik nog vergeten; inderdaad ook niet te vertrouwen. Sterker nog: als de backup server ook aan het netwerk hangt ...
28-09-2021, 12:54 door Anoniem
Misschien iets als openldap gebruiken??? Ondersteun je meteen ook open standardisatie.
28-09-2021, 17:43 door Anoniem
Door Anoniem: Misschien iets als openldap gebruiken??? Ondersteun je meteen ook open standardisatie.
IPA is de weg te gaan: https://www.freeipa.org/page/Main_Page
28-09-2021, 20:27 door Anoniem
Door Anoniem:
Door Anoniem: Misschien iets als openldap gebruiken??? Ondersteun je meteen ook open standardisatie.
IPA is de weg te gaan: https://www.freeipa.org/page/Main_Page

Ja inderdaad. Vreemd toch dat zo'n miljarden bedrijf met zoveel geld, zijn zaakjes zo slecht heeft geregeld tov opensource / gratis producten.

Stel dat je het aantal bugs zou relateren aan de omzet dan is MS echt een pruts bedrijf vergeleken met iedereen. Het wordt tijd dat ze dat geld niet in kas houden, maar uitgeven aan een bekwaam development team.
29-09-2021, 09:32 door _R0N_
Door Toje Fos:
Door _R0N_:
Door Toje Fos: ... Het devies is dus eigenlijk een volledige wipe+reinstall van de getroffen servers en misschien zelfs van het volledige netwerk waarmee ze verbonden zijn (want wie zegt dat de hackers niet stiekem zijn doorgestoten naar andere computers op het netwerk?).

Inderdaad en ook de backups kun je niet vertrouwen. Opnieuw beginnen en je documenten controleren en veiligstellen.

Backups was ik nog vergeten; inderdaad ook niet te vertrouwen. Sterker nog: als de backup server ook aan het netwerk hangt ...

Ja of je hebt backups van een timebomb.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.