image

Microsoft bevestigt diefstal van broncode na inbraak op account

woensdag 23 maart 2022, 09:53 door Redactie, 17 reacties

Een groep aanvallers is erin geslaagd om een deel van de broncode van Microsoft te stelen, zo heeft het techbedrijf in een blogposting bevestigd. De groep wordt Lapsus$ genoemd en wist toegang tot een account van Microsoft te krijgen en zo 37 gigabyte aan broncode buit te maken.

Volgens Microsoft heeft de diefstal van de broncode geen gevolgen voor de veiligheid van producten of gebruikers. "Microsoft vertrouwt niet op de geheimhouding van code als een beveiligingsmaatregel en het bekijken van broncode leidt niet tot een verhoogd risico." Hoe de aanvallers toegang tot het specifieke account wisten te krijgen wordt niet door Microsoft gemeld.

De groep zou op verschillende manieren accounts compromitteren, waaronder het gebruik van de Redline-malware voor het stelen van wachtwoorden en sessietokens, het aanschaffen van gestolen inloggegevens, het betalen van medewerkers van aangevallen organisaties om toegang te verlenen of het doorzoeken van publieke code-repositories om zo inloggegevens te vinden.

Het gaat dan meestal om accounts voor vpn's, rdp-systemen, virtual desktop infrastructure (VDI) zoals Citrix of identiteitsproviders zoals Azure Active Directory en Okta. Zodra er toegang tot een netwerk is verkregen maken de aanvallers gebruik van kwetsbaarheden in intern toegankelijke servers, waaronder Jira, Gitlab en Confluence, om hun rechten te verhogen.

Microsoft is ook bekend met gevallen waarbij de aanvallers de helpdesk van een organisatie belden om zo het wachtwoord van een account met verhoogde rechten te resetten. Het doel van de aanvallers is het stelen van data. Na de diefstal verwijderen de aanvallers gegevens en virtuele systemen en persen de aangevallen organisatie af.

Volgens Microsoft is één van de belangrijkste maatregelen tegen de groep het gebruik van multifactorauthenticatie (MFA). Daarbij moeten zwakke MFA-opties zoals sms en secondaire e-mailadressen worden vermeden.

Reacties (17)
23-03-2022, 10:17 door Anoniem
Het is veel makkelijker om te zoeken naar kwetsbaarheden als je ziet hoe het is geprogrammeerd.
23-03-2022, 10:18 door Anoniem
Het zien van de broncode kan leiden tot zware buikklachten van het lachen.
23-03-2022, 10:38 door Anoniem
De groep zou op verschillende manieren accounts compromitteren, waaronder het gebruik van de Redline-malware voor het stelen van wachtwoorden en sessietokens, het aanschaffen van gestolen inloggegevens, het betalen van medewerkers van aangevallen organisaties om toegang te verlenen of het doorzoeken van publieke code-repositories om zo inloggegevens te vinden.

Een sessietoken is toch niet meedere malen te gebruiken, daarom heet het een sessietoken.

Enfin, Mooi dat Windows nu opensource is, kan Karma4 op zoek naar iets anders.
23-03-2022, 11:50 door Anoniem
Multifactorauthenticatie (MFA) als heilige veiligheidsgraal, echter zit er ook een gevaar in. Als de gebruiker zijn telefoon niet bij zoch heeft of dat deze defect is dan kun je dus niet inloggen. Lijkt me zeer onwenselijk.

Nadenken over de negatieve impact van security maatregelen tbv de toegang tot systemen, informatie en processen kan flink ontregeld worden door de uitval van 1 systeem.

Er moet een fallback zijn, dat je een troubled access knop krijgt waarmee je alsnog kan inloggen met het wachtwoord en dat er dan een mail en sms volgt dat gebruikersnaam (eerste 3 tekens###laatste drie tekens, is ingelogd op apparaat nummer (alle devices moeten een acces ID toegewezen krijgen, zodat je vertrouwde devices kunt instellen), met MacAdres, via IP adres xyz, middels provider abc.

Dat je dan dus een read only modus krijgt waar je wel de broodnodige zaken kan doen, want als bv een internet connectie uitvalt of een provider waardoor smsjes niet werken, dan kunnen er ineens een miljard mensen niet werken.

Niet handig, voor banken en cruciale infrastructuur zou het verplicht moeten worden om nooit afhankelijk te mogen zijn van een provider, dienst, applicatie, standaard of wat dan ook. Dus bv thuiswerkende key users dat die betaald door de werkgever en een stevige BVDSL of glasvezel verbinding krijgen en als failover een kabel verbinding en een dual sim mobiele mobiele router (met stevige accu) die middels twee sim kaarten via twee providers altijd een falende verbinding kunnen overnemen. Ik bedoel je gaat bepaalde keyusers voor key functies een berg aan loon geven (noodzaak om chantabiliteit af te laten nemen) om vervolgens een 500 euro gebruikte laptop te geven en hun eigen consumenten markt internet verbinding te laten gebruiken plus vaak ook nog met MFA via een privé telefoon. Wat een aldi mentaliteit van het bedrijfsleven.


Herinner me dat productie bedrijfje VDL Nedcar, dat zo nodig boompjes moest kappen om te kunnen uitbreiden (asociaal btw, zeker in het licht van de stikstof affaire, 500 meter verder op staat ook nog eens kantoorruimte leeg), dat bedrijfje werd getroffen door een kleine hackers bende, sciptkiddies die wat centjes wilde verdienen.

Dat bedrijf heeft er meer dan een maand uit gelegen, meer dan een maand konden 1500 medewerkers niet werken. Ze hadden een paar jaar geleden nog zo'n 5000 FTE in dienst, maar de directe faalt al zolang dat ze steeds verder inkrimpen. Dat is zo'n ontzettend domme situatie, bizar dat je je ict zo bizar slecht geregeld hebt. Je zou maximaal 8 uur later alweer volledig online moeten kunnen zijn via een backup oplossing. Maar ja als je helemaal niets geregeld hebt, ja dan sta je meer dan een maand stil en kost dat miljoenen euro's en leid dat tot inkrimping en zal het bedrijf over een paar jaar verkocht worden aan een venture capitalist om de productie faciliteiten te kunnen verkopen en het slecht gerunde bedrijf permanent te sluiten. Een goede waarschuwing voor andere bedrijven. Investeer in goede infra en veilige ICT waarbij data heel goed gebackuped wordt en security goed en praktisch in geregeld. Is ICT en continuiteit geen prioriteit dan kan je als bedrijf door het ijs zakken en voedig bankrupt gaan als 5 of meer puisterige tieners toevallig je rampalig gemanagede bedrijf gaan targetten.

Wat mij opvalt welke CEO je er ooo naar vraagd, zullen we meer backups maken van onze data en onze systemen aangezien de cloud ook getroffen kan worden. Zo vaak hoor je dan nee dat hebben we al geregeld kees of henk van ict zit daar bovenop. Nou die kees of henk die krijgt budgetair een straatkrant budget dus wat verwacht je nou. Ik snap dat elke euro die je bespaard op bedrijfsvoering boekhoudkundig gezien 100% winst is, maar je moet wel een balans vinden en besparen of bezuinigen op ict en security is levensgevaarlijk.
Als een grootzakelijk bedrijf omvalt beschandigd dat de werkgelegenheid en een volledige regio op ecobomisch vlak. We moeten niet langer toestaan dat kortzichtige amateurs zonder kennis van zaken ict en security onvoldoende borgen. Dat kan niet via een Kees of Henk dat moet belegd worden via professionele partners en moet een top prioriteit zijn. Budgettaire ongelimiteerd, je intellectuele eigendom en je data, je informatie dat is waar de groostebeaarde zit en waar de grootste bedreigen voor gelden.

Er moet echt een code tabaksblad achtige verplichte code of conduct komen voor alle bedrijven met meer dan 50 werkbemers dat die verplicht minimaal 5% van hun omzet uitgeven aan ict en security en backups, zo niet leguot of betaal een 10% boete. Bij blunders zijn consumenten en kleinere bedrijven die daar ook door om kunnen vallen de dupe.
23-03-2022, 14:28 door Anoniem
Het is in iedere geval duidelijk dat dit soort bedrijven, hoe goed ze ook beveiligd zijn, ook gehackt kunnen worden. Als je de wilste verhalen leest op security.nl, ligt het altijd aan het bedrijf, want die zou niet goed beveiligd zijn. Zo zie je maar dat zelfs bedrijven die security hoog hebben staan, ook gehackt kunnen worden. Security is meer dan alleen de opmerking "moet je alles maar beter beveiligen".
23-03-2022, 15:12 door Anoniem
impact voor later nu gedownplayed.
23-03-2022, 21:34 door Anoniem
Microsoft vertrouwt niet op de geheimhouding van code als een beveiligingsmaatregel en het bekijken van broncode leidt niet tot een verhoogd risico
Zou ook ook zeggen als de code gejat is! Kunnen we eindelijk zien wat voor truukjes ze hebben uitgehaald om haar eigen producten te bevoordelen. Is het al ergens boven water gekomen?
23-03-2022, 23:57 door Xavier Ohole - Bijgewerkt: 23-03-2022, 23:58
Door Anoniem:
Microsoft vertrouwt niet op de geheimhouding van code als een beveiligingsmaatregel en het bekijken van broncode leidt niet tot een verhoogd risico
Zou ook ook zeggen als de code gejat is! Kunnen we eindelijk zien wat voor truukjes ze hebben uitgehaald om haar eigen producten te bevoordelen. Is het al ergens boven water gekomen?

En hoe erg het gesteld is met de codekwaliteit en hoeveel telemetrie er nou echt inzit.
24-03-2022, 05:40 door Anoniem
Weten we ook gelijk wat die New-Yorkse spookcoders destijds hebben uitgevreten.
24-03-2022, 09:20 door Anoniem
Door Anoniem: Het is veel makkelijker om te zoeken naar kwetsbaarheden als je ziet hoe het is geprogrammeerd.

Inderdaad, daarom moet je ook programmeren alsof het opensource is, en er iedereen naar kijkt. Maar dat werkt natuurlijk alleen als je het echt publiceert.
24-03-2022, 09:24 door Anoniem
Door Anoniem: Het is in iedere geval duidelijk dat dit soort bedrijven, hoe goed ze ook beveiligd zijn, ook gehackt kunnen worden. Als je de wilste verhalen leest op security.nl, ligt het altijd aan het bedrijf, want die zou niet goed beveiligd zijn. Zo zie je maar dat zelfs bedrijven die security hoog hebben staan, ook gehackt kunnen worden. Security is meer dan alleen de opmerking "moet je alles maar beter beveiligen".

Hoe weet je dat Microsoft goed beveiligd is? Ik vind het meer logisch om te concluderen dat ze niet goed beveiligd zijn, immers al hun werk is van middelmatige kwaliteit. Daarnaast hebben andere bedrijven niet zoveel geld in kas, dus is het alleen maar nog slechter van microsoft als ze hun miljarden in kas belangrijker vinden dan het uitgeven aan beveiliging.
24-03-2022, 10:37 door Anoniem
Door Anoniem:
Door Anoniem: Het is veel makkelijker om te zoeken naar kwetsbaarheden als je ziet hoe het is geprogrammeerd.

Inderdaad, daarom moet je ook programmeren alsof het opensource is, en er iedereen naar kijkt. Maar dat werkt natuurlijk alleen als je het echt publiceert.
Nee, dat werkt dus niet getuige de diverse kwetsbaarheden die al +10 jaar bv in Samba zaten of in TrueCrypt (ex VeraCrypt) en bij toeval ontdekt werden.
24-03-2022, 10:41 door Anoniem
37GB aan broncode? Is het uitvoerig voorzien van comments ofzo? Ik kan me er haast niets bij voorstellen. In het geval elke regel 100 karakters lang is, hebben we het over 370 miljoen regels code!
24-03-2022, 11:19 door Xavier Ohole
Door Anoniem:
Door Anoniem:
Door Anoniem: Het is veel makkelijker om te zoeken naar kwetsbaarheden als je ziet hoe het is geprogrammeerd.

Inderdaad, daarom moet je ook programmeren alsof het opensource is, en er iedereen naar kijkt. Maar dat werkt natuurlijk alleen als je het echt publiceert.
Nee, dat werkt dus niet getuige de diverse kwetsbaarheden die al +10 jaar bv in Samba zaten of in TrueCrypt (ex VeraCrypt) en bij toeval ontdekt werden.

Het werkt natuurlijk wel, om voor de hand liggende redenen. Wat niet werkt is security through obscurity. Alle software bevat fouten en met open source vergroot je het aantal ontdekte fouten maar belangrijker, geef je inzicht in de broncode en de wijzigingen daarop. Dat er desondanks fouten door kunnen glippen snapt iedereen. Dat er minder fouten doorheen zullen glippen snapt ook iedereen.
24-03-2022, 13:19 door Anoniem
Door Xavier Ohole:
Door Anoniem:
Door Anoniem:
Door Anoniem: Het is veel makkelijker om te zoeken naar kwetsbaarheden als je ziet hoe het is geprogrammeerd.

Inderdaad, daarom moet je ook programmeren alsof het opensource is, en er iedereen naar kijkt. Maar dat werkt natuurlijk alleen als je het echt publiceert.
Nee, dat werkt dus niet getuige de diverse kwetsbaarheden die al +10 jaar bv in Samba zaten of in TrueCrypt (ex VeraCrypt) en bij toeval ontdekt werden.

Het werkt natuurlijk wel, om voor de hand liggende redenen. Wat niet werkt is security through obscurity. Alle software bevat fouten en met open source vergroot je het aantal ontdekte fouten maar belangrijker, geef je inzicht in de broncode en de wijzigingen daarop. Dat er desondanks fouten door kunnen glippen snapt iedereen. Dat er minder fouten doorheen zullen glippen snapt ook iedereen.

het is niet zo zeer de time-to-find-bug die belangrijk is, het is de time-to-update-after-found en de kwaliteit van updates die cruciaal zijn. en dan zeg ik het maar zo, succes met wachten tot de volgende dinsdag waarbij je moet gaan kiezen tussen twee kwaden: kompjoeter stuk door rotte bulk update, of kompjoeter met een gat.
24-03-2022, 15:28 door Anoniem
Door Anoniem:
Door Anoniem: Het is veel makkelijker om te zoeken naar kwetsbaarheden als je ziet hoe het is geprogrammeerd.

Inderdaad, daarom moet je ook programmeren alsof het opensource is, en er iedereen naar kijkt. Maar dat werkt natuurlijk alleen als je het echt publiceert.


Hoe moet je dat doen?( het opensource programmeren)
Een nieuwe programmeertaal?
Lijkt me een onzinninge opmerking.
25-03-2022, 09:08 door Xavier Ohole
Door Anoniem:
Door Anoniem:
Door Anoniem: Het is veel makkelijker om te zoeken naar kwetsbaarheden als je ziet hoe het is geprogrammeerd.

Inderdaad, daarom moet je ook programmeren alsof het opensource is, en er iedereen naar kijkt. Maar dat werkt natuurlijk alleen als je het echt publiceert.


Hoe moet je dat doen?( het opensource programmeren)
Een nieuwe programmeertaal?
Lijkt me een onzinninge opmerking.

Geen onzinnige opmerking want het staat er toch duidelijk: "[alsof] er iedereen naar kijkt".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.