image

Microsoft: 98 procent aanvallen met basale maatregelen te voorkomen

maandag 10 juli 2023, 13:47 door Redactie, 8 reacties

98 procent van alle aanvallen is met basale beveiligingsmaatregelen, zoals het installeren van beschikbare beveiligingsupdates, te voorkomen, zo stelt Microsoft. Het techbedrijf noemt dit in een artikel over een ransomware-aanval op een organisatie, maar liet dit eerder ook al weten in het Digital Defense Report over 2022 (pdf).

De aanval met de BlackByte-ransomware waarover Microsoft bericht vond plaats via bekende kwetsbaarheden in Microsoft Exchange. De niet nader genoemde organisatie had de patches om deze problemen te verhelpen niet geïnstalleerd, waardoor aanvallers toegang tot de server konden krijgen en daarvandaan zich uiteindelijk lateraal door het netwerk konden bewegen.

"Veel cyberaanvallen zijn succesvol omdat basale beveiligingsmaatregelen niet zijn genomen", aldus Microsoft in het Digital Defense Report over 2022 dat eerder dit jaar verscheen. Het gaat dan om vijf zaken, namelijk het installeren van beveiligingsupdates, inschakelen van multifactorauthenticatie, toepassen van zero trust principes, gebruik van anti-malware en weten waar belangrijke data zich bevindt en die beveiligen.

Om aanvallen met de BlackByte-ransomware te voorkomen worden deze aanbevelingen onder andere aangevuld met het beperken van beheerdersrechten om ongeautoriseerde systeemaanpassingen te voorkomen en het blokkeren van inkomend verkeer van het Tor-netwerk en ongeautoriseerde, publieke vpn-diensten. De BlackByte-groep blijkt vaak vanaf het Tor-netwerk en via vpn-provider Mullvad met gecompromitteerde systemen te verbinden.

Reacties (8)
10-07-2023, 14:36 door Anoniem
Opvallend dat de aanbevelingen vooral gaan over instellingen die binnen de verantwoordelijkheid van eindgebruikers ligt. Er wordt maar weinig gekeken naar de verantwoordelijkheid van Microsoft zelf, met name als het gaat over de 'INSECURE-by-default' instellingen van Windows. Door deze standaard onveilige instellingen kunnen bijvoorbeeld met Mimikatz wachtwoorden achterhaald kunnen worden. In het artikel wordt hier niet op ingegaan, terwijl het wel benoemd staat als stap in de aanvalsketen.

Specifiek heb ik het dan over LSA Protection en Credential Guard. Deze laatste wordt tegenwoordig automatisch ingeschakeld op moderne W11 werkplekken, maar niet op Windows Servers die vaak het doelwit zijn bij dit soort aanvallen.
10-07-2023, 16:26 door linuxpro
Stap 1: stop met gebruik van Microsoft producten.. oh wacht, dat marktaandeel is niet meer zo groot en haal die 98 procent nooit meer mee
10-07-2023, 16:54 door _R0N_
Door Anoniem: Opvallend dat de aanbevelingen vooral gaan over instellingen die binnen de verantwoordelijkheid van eindgebruikers ligt. Er wordt maar weinig gekeken naar de verantwoordelijkheid van Microsoft zelf, met name als het gaat over de 'INSECURE-by-default' instellingen van Windows. Door deze standaard onveilige instellingen kunnen bijvoorbeeld met Mimikatz wachtwoorden achterhaald kunnen worden. In het artikel wordt hier niet op ingegaan, terwijl het wel benoemd staat als stap in de aanvalsketen.

Specifiek heb ik het dan over LSA Protection en Credential Guard. Deze laatste wordt tegenwoordig automatisch ingeschakeld op moderne W11 werkplekken, maar niet op Windows Servers die vaak het doelwit zijn bij dit soort aanvallen.

Je vergeet gemakshalve dat de Windows firewall altijd dicht staat maar dat de gebruiker/beheerder deze verneukt door hem uit te schakelen omdat ze niet snappen hoe hij werkt.
10-07-2023, 16:58 door _R0N_
Door linuxpro: Stap 1: stop met gebruik van Microsoft producten.. oh wacht, dat marktaandeel is niet meer zo groot en haal die 98 procent nooit meer mee

Inderdaad, net als dat bij aanvallen waarbij Windows machines worden misbruikt het meestal komt door domme gebruikers acties (fout linkje klikken etc) en dat bij Linux het meestal komt door "vergeten" updates.
En ja dit is statistisch vastgelegd (die links zijn hier al meermaals gedeeld)

De meeste aanvallen zijn eenvoudig te voorkomen, in de meeste gevallen door betere beheerders aan te nemen en personeel te trainen. in beide gevallen kost dat (meer) geld, if you pay peanuts you'll get monkeys.
10-07-2023, 17:34 door Anoniem
Door _R0N_:
Je vergeet gemakshalve dat de Windows firewall altijd dicht staat maar dat de gebruiker/beheerder deze verneukt door hem uit te schakelen omdat ze niet snappen hoe hij werkt.

Maar daar is Microsoft mede-verantwoordelijk voor, omdat die firewall zo belachelijk complex is dat er een meerdaagse studie voor nodig is om te snappen hoe die werkt.
Zo iets is leuk voor degene die zich er in wil verdiepen, maar men zou een setting moeten aanbieden waarbij de boel voor inkomende verbindingen dicht staat maar er niet die idiote per-applicatie opsplitsing van uitgaand verkeer is. Dat is voor de meeste mensen die hem nu helemaal uitzetten een prima oplossing.
11-07-2023, 08:50 door Anoniem
Door Anoniem:
Door _R0N_:
Je vergeet gemakshalve dat de Windows firewall altijd dicht staat maar dat de gebruiker/beheerder deze verneukt door hem uit te schakelen omdat ze niet snappen hoe hij werkt.

Maar daar is Microsoft mede-verantwoordelijk voor, omdat die firewall zo belachelijk complex is dat er een meerdaagse studie voor nodig is om te snappen hoe die werkt.
Zo iets is leuk voor degene die zich er in wil verdiepen, maar men zou een setting moeten aanbieden waarbij de boel voor inkomende verbindingen dicht staat maar er niet die idiote per-applicatie opsplitsing van uitgaand verkeer is. Dat is voor de meeste mensen die hem nu helemaal uitzetten een prima oplossing.

serieus? complex? https://woshub.com/windows-firewall-settings-group-policy/
iedereen met ietsie pietsie knowhow stelt dit binnen 5 minuten in.
11-07-2023, 09:55 door Anoniem
Heb je nog een virusscanner nodig?
11-07-2023, 11:37 door Anoniem
Het grote probleem zit hem in het feit dat 90% van de ondernemers gewoon niet (willen) snappen dat IT een behoorlijk budget vraagt. Ze vinden managed antivirus te duur, dus moet er maar AVG Free op de systemen draaien. Geen enkele controle op, dus dat gaat een keer goed fout.

Daarnaast blijft investeren in basale dingen als een spamfilter, goede backup strategie en trainen van gebruikers ook vaak enorm achter. Je moet dan achteraf niet lopen piepen als je 0,5 Bitcoin over moet maken naar de boefjes om je data terug te krijgen. Die 0,5 bitcoin had je al lang en breed moeten investeren in het veilig houden van je netwerk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.