image

Office 365-accounts havens en defensiebedrijven doelwit password spraying

dinsdag 12 oktober 2021, 10:02 door Redactie, 17 reacties

Office 365-accounts van meer dan 250 defensiebedrijven, havens in de Perzische Golf en maritieme transportbedrijven zijn het doelwit van password spraying geworden, zo stelt Microsoft. Bij minder dan twintig bedrijven wisten de aanvallers toegang tot accounts te krijgen, wat het gebruik van zwakke of standaard wachtwoorden aantoont.

Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt.

Bij de waargenomen aanvallen waren tientallen tot honderden Office 365-accounts van een organisatie het doelwit en werden gemiddeld tussen de honderdvijftig en duizend unieke Tor-servers gebruikt. Verder stelt Microsoft dat de aanvallers met name tussen zondag en donderdag van half acht 's ochtends tot half negen 's avonds actief waren.

Volgens het techbedrijf waren defensiebedrijven het doelwit die de Verenigde Staten, Israël en Europese landen van militaire radars, dronetechnologie en satellietsystemen voorzien. Ook aanbieders van geografische informatiesystemen, havens in de Perzische Golf en maritieme transportbedrijven met een focus op het Midden-Oosten waren het doelwit.

Om de aanvallen te voorkomen adviseert Microsoft om verkeer van het Tor-netwerk en andere anonimiseringsdiensten waar mogelijk te blokkeren. Ook wordt het gebruik van multifactorauthenticatie aangeraden, aangezien Office 365-accounts met een dergelijke beveiligingsmaatregel bestand zijn tegen password spraying, aldus Microsoft.

Reacties (17)
12-10-2021, 10:49 door Anoniem
Defensiebedrijven in de office 365 omgeving. Wat een domme strategie, als we daarop moeten vertrouwen als volk, dat we dit soort defensie hebben.
12-10-2021, 12:28 door Anoniem
Door Anoniem: Defensiebedrijven in de office 365 omgeving. Wat een domme strategie, als we daarop moeten vertrouwen als volk, dat we dit soort defensie hebben.

ik denk dat je 2 dingen door elkaar haalt:
Defensiebedrijven: Toeleveranciers van Defensie, bijvoorbeeld scheepsbouwers, vliegtuig fabrikanten, radar fabrikanten etc.
Defensie: Overheidsorganisatie belast met het "beschermen van het eigen grondgebied en dat van bondgenoten; bevorderen van de (internationale) rechtsorde en stabiliteit en leveren van bijstand bij rampen en crises." (Volgens www.defensie.nl)
12-10-2021, 12:35 door Anoniem
Door Anoniem: Defensiebedrijven in de office 365 omgeving. Wat een domme strategie, als we daarop moeten vertrouwen als volk, dat we dit soort defensie hebben.

Alsof een eigen IT team dat beter kan.
12-10-2021, 13:30 door Anoniem
Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt.
Wat is dat dan voor pruts detectiesysteem dat het dergelijke aanvallen niet opmerkt?
Al die logins komen langs Microsoft, dus Microsoft kan dit heel makkelijk oplossen.
Ook het blokkeren van Tor Exit Nodes is iets wat zij gewoon kunnen regelen...
12-10-2021, 14:51 door Anoniem
Door Anoniem:
Door Anoniem: Defensiebedrijven in de office 365 omgeving. Wat een domme strategie, als we daarop moeten vertrouwen als volk, dat we dit soort defensie hebben.

Alsof een eigen IT team dat beter kan.

ja hierzo alles op RHEL en geen gezeik :P
12-10-2021, 14:53 door Anoniem
Door Anoniem: Defensiebedrijven in de office 365 omgeving. Wat een domme strategie, als we daarop moeten vertrouwen als volk, dat we dit soort defensie hebben.

Is dit sarcastisch bedoeld of serieus? In geval van het laatste zou het sieren om deze conclusies met wat meer argumentatie te onderbouwen. Mogelijk heb je een aantal sterke argumenten en daar ben ik oprecht nieuwsgierig naar.

1. Waarom is het gebruik van Office 365 door defensiebedrijven een domme strategie?

2. Is het gebruik van elke cloud oplossing door defensiebedrijven een domme strategie of specifiek het gebruik van de Microsoft cloud?

3. Het aantal cloud leveranciers dat momenteel aan de door defensie gestelde eisen kan voldoen is relatief beperkt. Het lage aantal FedRAMP Moderate/High GovCloud providers is daar een goed voorbeeld van. Als het gebruik van een dergelijk geautoriseerde partij een domme strategie is, wat kan dan als een slimme strategie worden beschouwt?
12-10-2021, 15:00 door Anoniem
Door Anoniem:Ook het blokkeren van Tor Exit Nodes is iets wat zij gewoon kunnen regelen...
Maar misschien is blokkeren van Tor Exit Nodes niet iets wat je zou moeten willen...
12-10-2021, 15:17 door Anoniem
Door Anoniem:
Door Anoniem:Ook het blokkeren van Tor Exit Nodes is iets wat zij gewoon kunnen regelen...
Maar misschien is blokkeren van Tor Exit Nodes niet iets wat je zou moeten willen...
Als Microsoft een configureerbare Tor Exit node block per Office365 tenant maakt dan zet ik dat per omgaande aan.
Die Torren gaan maar lekker ergens anders hun documenten editen, ik zie geen enkele reden waarom een legitieme
gebruiker van onze Office365 omgeving zich zou moeten verbergen achter een Tor netwerk.
12-10-2021, 15:22 door Anoniem
Wat is dat dan voor pruts detectiesysteem dat het dergelijke aanvallen niet opmerkt?
Al die logins komen langs Microsoft, dus Microsoft kan dit heel makkelijk oplossen.
Ook het blokkeren van Tor Exit Nodes is iets wat zij gewoon kunnen regelen...

Het lijkt erop dat je het bronartikel https://www.microsoft.com/security/blog/2021/10/11/iran-linked-dev-0343-targeting-defense-gis-and-maritime-sectors/) niet hebt gelezen of niet helemaal begrijpt. Hieruit kun je namelijk opmaken dat Microsoft deze aanval wel dergelijk heeft opgemerkt.

Voor de aanval worden per organisatie tussen de 150 en 1000+ unieke Tor proxy IP adressen gebruikt. Daarbij is ook duidelijk dat de aanval zich met name richt op de Autodiscover en ActiveSync functionaliteiten. Door de inzet van zoveel unieke IP adressen is het niet mogelijk statische IOCs in te zetten. Om die reden geeft Microsoft een aantal adviezen die organisaties kunnen doorvoeren om zich beter te kunnen weren tegen een dergelijke aanval.

Eén daarvan is inderdaad het blokkeren van inkomend verkeer van geanonimiseerde services (zoals Tor). Een organisatie kan echter redenen hebben om (ActiveSync) verbindingen vanuit geanonimiseerde services mogelijk te maken. Het is aan Microsoft om te bepalen wat zij default aan-/uitzetten, maar het is vervolgens aan de organisatie om een bij het organisatiebeleid passende configuratie door te voeren.
12-10-2021, 15:49 door Anoniem
Als Microsoft een configureerbare Tor Exit node block per Office365 tenant maakt dan zet ik dat per omgaande aan.
Die Torren gaan maar lekker ergens anders hun documenten editen, ik zie geen enkele reden waarom een legitieme
gebruiker van onze Office365 omgeving zich zou moeten verbergen achter een Tor netwerk.

Dit is mogelijk middels Cloud App Security in combinatie met Conditional Access. Met een custom filter kun je letterlijk filteren op Tor, Anonymous Proxy en dergelijke.

Voor meer informatie: https://docs.microsoft.com/en-us/cloud-app-security/anomaly-detection-policy
12-10-2021, 16:53 door Anoniem
Door Anoniem:
Door Anoniem: Defensiebedrijven in de office 365 omgeving. Wat een domme strategie, als we daarop moeten vertrouwen als volk, dat we dit soort defensie hebben.

Alsof een eigen IT team dat beter kan.

Om eerlijk te zijn: je kan beter je zaken aan een goede cloudprovider toevertrouwen dan het zelf proberen te doen. En MS behoort echt niet tot de zwakkeren, ondanks hun wellicht slechtere verleden.

En nee, ik heb geen financieel of anderszins belang in of bij MS.
13-10-2021, 04:00 door Anoniem
Mooi man alles in de cloud zetten. Recent was er ook een DDoS tegen Azure. Op een dag gaat het zaakje vast wel eens down. On-prem heeft toch ook zeker voordelen maar ja is duurder en je moet in kennis investeren.
13-10-2021, 07:17 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Defensiebedrijven in de office 365 omgeving. Wat een domme strategie, als we daarop moeten vertrouwen als volk, dat we dit soort defensie hebben.

Alsof een eigen IT team dat beter kan.

ja hierzo alles op RHEL en geen gezeik :P

Er is altijd gezeik, mogelijk "ander soort" gezeik, maar gezeik is er altijd :-)
13-10-2021, 08:16 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Defensiebedrijven in de office 365 omgeving. Wat een domme strategie, als we daarop moeten vertrouwen als volk, dat we dit soort defensie hebben.

Alsof een eigen IT team dat beter kan.

Om eerlijk te zijn: je kan beter je zaken aan een goede cloudprovider toevertrouwen dan het zelf proberen te doen. En MS behoort echt niet tot de zwakkeren, ondanks hun wellicht slechtere verleden.

En nee, ik heb geen financieel of anderszins belang in of bij MS.
Hoe was die quote toch ook alweer?

"Resultaten behaald in het verleden bieden geen garanties voor de toekomst" ... of zoiets.
13-10-2021, 08:17 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Defensiebedrijven in de office 365 omgeving. Wat een domme strategie, als we daarop moeten vertrouwen als volk, dat we dit soort defensie hebben.

Alsof een eigen IT team dat beter kan.

ja hierzo alles op RHEL en geen gezeik :P
Helemaal mee eens!
13-10-2021, 09:05 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Defensiebedrijven in de office 365 omgeving. Wat een domme strategie, als we daarop moeten vertrouwen als volk, dat we dit soort defensie hebben.

Alsof een eigen IT team dat beter kan.

Om eerlijk te zijn: je kan beter je zaken aan een goede cloudprovider toevertrouwen dan het zelf proberen te doen. En MS behoort echt niet tot de zwakkeren, ondanks hun wellicht slechtere verleden.

En nee, ik heb geen financieel of anderszins belang in of bij MS.

nee hoor, dat hangt namelijk sterk af van wat je werk is en op welk 'level' je bezig bent... ja de slager op de hoek die handig met zijn bijlen en messen is die via een andere IT MKBer aan de slag gaat, die zou er baat bij hebben, mara er is ook nog zoiets als een Snellius, een groter HPC (super) computer en voor die mensen is je advies totale onzin weer....

https://servicedesk.surfsara.nl/wiki/display/WIKI/Cartesius+to+Snellius+migration
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.