Office 365-accounts havens en defensiebedrijven doelwit password spraying
Office 365-accounts van meer dan 250 defensiebedrijven, havens in de Perzische Golf en maritieme transportbedrijven zijn het doelwit van password spraying geworden, zo stelt Microsoft. Bij minder dan twintig bedrijven wisten de aanvallers toegang tot accounts te krijgen, wat het gebruik van zwakke of standaard wachtwoorden aantoont.
Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt.
Bij de waargenomen aanvallen waren tientallen tot honderden Office 365-accounts van een organisatie het doelwit en werden gemiddeld tussen de honderdvijftig en duizend unieke Tor-servers gebruikt. Verder stelt Microsoft dat de aanvallers met name tussen zondag en donderdag van half acht 's ochtends tot half negen 's avonds actief waren.
Volgens het techbedrijf waren defensiebedrijven het doelwit die de Verenigde Staten, Israël en Europese landen van militaire radars, dronetechnologie en satellietsystemen voorzien. Ook aanbieders van geografische informatiesystemen, havens in de Perzische Golf en maritieme transportbedrijven met een focus op het Midden-Oosten waren het doelwit.
Om de aanvallen te voorkomen adviseert Microsoft om verkeer van het Tor-netwerk en andere anonimiseringsdiensten waar mogelijk te blokkeren. Ook wordt het gebruik van multifactorauthenticatie aangeraden, aangezien Office 365-accounts met een dergelijke beveiligingsmaatregel bestand zijn tegen password spraying, aldus Microsoft.
ik denk dat je 2 dingen door elkaar haalt:
Defensiebedrijven: Toeleveranciers van Defensie, bijvoorbeeld scheepsbouwers, vliegtuig fabrikanten, radar fabrikanten etc.
Defensie: Overheidsorganisatie belast met het "beschermen van het eigen grondgebied en dat van bondgenoten; bevorderen van de (internationale) rechtsorde en stabiliteit en leveren van bijstand bij rampen en crises." (Volgens www.defensie.nl)
Alsof een eigen IT team dat beter kan.
Al die logins komen langs Microsoft, dus Microsoft kan dit heel makkelijk oplossen.
Ook het blokkeren van Tor Exit Nodes is iets wat zij gewoon kunnen regelen...
Alsof een eigen IT team dat beter kan.
ja hierzo alles op RHEL en geen gezeik :P
Is dit sarcastisch bedoeld of serieus? In geval van het laatste zou het sieren om deze conclusies met wat meer argumentatie te onderbouwen. Mogelijk heb je een aantal sterke argumenten en daar ben ik oprecht nieuwsgierig naar.
1. Waarom is het gebruik van Office 365 door defensiebedrijven een domme strategie?
2. Is het gebruik van elke cloud oplossing door defensiebedrijven een domme strategie of specifiek het gebruik van de Microsoft cloud?
3. Het aantal cloud leveranciers dat momenteel aan de door defensie gestelde eisen kan voldoen is relatief beperkt. Het lage aantal FedRAMP Moderate/High GovCloud providers is daar een goed voorbeeld van. Als het gebruik van een dergelijk geautoriseerde partij een domme strategie is, wat kan dan als een slimme strategie worden beschouwt?
Die Torren gaan maar lekker ergens anders hun documenten editen, ik zie geen enkele reden waarom een legitieme
gebruiker van onze Office365 omgeving zich zou moeten verbergen achter een Tor netwerk.
Al die logins komen langs Microsoft, dus Microsoft kan dit heel makkelijk oplossen.
Ook het blokkeren van Tor Exit Nodes is iets wat zij gewoon kunnen regelen...
Het lijkt erop dat je het bronartikel https://www.microsoft.com/security/blog/2021/10/11/iran-linked-dev-0343-targeting-defense-gis-and-maritime-sectors/) niet hebt gelezen of niet helemaal begrijpt. Hieruit kun je namelijk opmaken dat Microsoft deze aanval wel dergelijk heeft opgemerkt.
Voor de aanval worden per organisatie tussen de 150 en 1000+ unieke Tor proxy IP adressen gebruikt. Daarbij is ook duidelijk dat de aanval zich met name richt op de Autodiscover en ActiveSync functionaliteiten. Door de inzet van zoveel unieke IP adressen is het niet mogelijk statische IOCs in te zetten. Om die reden geeft Microsoft een aantal adviezen die organisaties kunnen doorvoeren om zich beter te kunnen weren tegen een dergelijke aanval.
Eén daarvan is inderdaad het blokkeren van inkomend verkeer van geanonimiseerde services (zoals Tor). Een organisatie kan echter redenen hebben om (ActiveSync) verbindingen vanuit geanonimiseerde services mogelijk te maken. Het is aan Microsoft om te bepalen wat zij default aan-/uitzetten, maar het is vervolgens aan de organisatie om een bij het organisatiebeleid passende configuratie door te voeren.
Die Torren gaan maar lekker ergens anders hun documenten editen, ik zie geen enkele reden waarom een legitieme
gebruiker van onze Office365 omgeving zich zou moeten verbergen achter een Tor netwerk.
Dit is mogelijk middels Cloud App Security in combinatie met Conditional Access. Met een custom filter kun je letterlijk filteren op Tor, Anonymous Proxy en dergelijke.
Voor meer informatie: https://docs.microsoft.com/en-us/cloud-app-security/anomaly-detection-policy
Alsof een eigen IT team dat beter kan.
Om eerlijk te zijn: je kan beter je zaken aan een goede cloudprovider toevertrouwen dan het zelf proberen te doen. En MS behoort echt niet tot de zwakkeren, ondanks hun wellicht slechtere verleden.
En nee, ik heb geen financieel of anderszins belang in of bij MS.
Alsof een eigen IT team dat beter kan.
ja hierzo alles op RHEL en geen gezeik :P
Er is altijd gezeik, mogelijk "ander soort" gezeik, maar gezeik is er altijd :-)
Alsof een eigen IT team dat beter kan.
Om eerlijk te zijn: je kan beter je zaken aan een goede cloudprovider toevertrouwen dan het zelf proberen te doen. En MS behoort echt niet tot de zwakkeren, ondanks hun wellicht slechtere verleden.
En nee, ik heb geen financieel of anderszins belang in of bij MS.
"Resultaten behaald in het verleden bieden geen garanties voor de toekomst" ... of zoiets.
Alsof een eigen IT team dat beter kan.
ja hierzo alles op RHEL en geen gezeik :P
Alsof een eigen IT team dat beter kan.
Om eerlijk te zijn: je kan beter je zaken aan een goede cloudprovider toevertrouwen dan het zelf proberen te doen. En MS behoort echt niet tot de zwakkeren, ondanks hun wellicht slechtere verleden.
En nee, ik heb geen financieel of anderszins belang in of bij MS.
nee hoor, dat hangt namelijk sterk af van wat je werk is en op welk 'level' je bezig bent... ja de slager op de hoek die handig met zijn bijlen en messen is die via een andere IT MKBer aan de slag gaat, die zou er baat bij hebben, mara er is ook nog zoiets als een Snellius, een groter HPC (super) computer en voor die mensen is je advies totale onzin weer....
https://servicedesk.surfsara.nl/wiki/display/WIKI/Cartesius+to+Snellius+migration
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
