image

E-mail Outlook.com en Outlook Web Access via vervalste tokens gestolen

woensdag 12 juli 2023, 14:10 door Redactie, 8 reacties

Een spionagegroep heeft door middel van vervalste authenticatietokens toegang gekregen tot de e-mailaccounts van zo'n 25 organisaties en een niet nader genoemd aantal eindgebruikers die via Outlook.com en Outlook Web Access (OWA) in Exchange Online worden aangeboden, zo heeft Microsoft laten weten. Onder de getroffen organisaties bevinden zich ook overheidsinstanties.

Nadat een klant op 16 juni verdachte mailactiviteit aan Microsoft rapporteerde startte het techbedrijf een onderzoek. Daaruit blijkt dat de aanvallers sinds 15 mei toegang tot de e-mailaccounts van getroffen organisaties en gebruikers hadden. De aanvallers gebruikten een verkregen Microsoft account (MSA) consumer signing key voor het vervalsen van de tokens waarmee er toegang tot mailaccounts bij OWA en Outlook.com werd verkregen.

MSA keys en Azure AD keys worden vanaf aparte systemen uitgegeven en beheerd en zouden alleen voor hun respectievelijke systemen geldig moeten zijn, aldus Microsoft. De aanvallers maakten echter gebruik van een probleem bij het valideren van tokens, waardoor het mogelijk was om via de vervalste tokens Azure AD-gebruikers te imiteren en zo toegang tot de e-mailaccounts te krijgen.

Hoe de aanvallers de MSA signing key in handen kregen laat Microsoft niet weten. Het techbedrijf zegt dat het de beveiliging van de MSA key managementsystemen heeft aangescherpt. Daarnaast is het gebruik van de tokens die met de verkregen MSA key zijn gesigneerd binnen OWA-omgevingen geblokkeerd en is de key in kwestie ook vervangen. Verder zijn alle getroffen organisaties ingelicht. Microsoft stelt dat de spionagegroep, die het Storm-0558 noemt, vanuit China opereert.

Reacties (8)
12-07-2023, 14:29 door eduardmeijer
Zou dat de reden zijn dat mijn spam overladen wordt met Ukraine Girl, Amazon etc. How The Hell Is dit Possible!!!!!!b H Ik heb ook protonmail en eerlijk gezecht is dit voor mij toch wel de beste. Daarom zet ik alles over op Protonmail. Ben outlook spuugzat..
12-07-2023, 15:32 door Anoniem
Door eduardmeijer: Zou dat de reden zijn dat mijn spam overladen wordt met Ukraine Girl, Amazon etc. How The Hell Is dit Possible!!!!!!b H Ik heb ook protonmail en eerlijk gezecht is dit voor mij toch wel de beste. Daarom zet ik alles over op Protonmail. Ben outlook spuugzat..
Door eduardmeijer: Zou dat de reden zijn dat mijn spam overladen wordt met Ukraine Girl, Amazon etc. How The Hell Is dit Possible!!!!!!b H Ik heb ook protonmail en eerlijk gezecht is dit voor mij toch wel de beste. Daarom zet ik alles over op Protonmail. Ben outlook spuugzat..
Nee dus, dat heeft er niets mee te maken.
12-07-2023, 15:59 door Anoniem
Door eduardmeijer: Zou dat de reden zijn dat mijn spam overladen wordt met Ukraine Girl, Amazon etc. How The Hell Is dit Possible!!!!!!b H Ik heb ook protonmail en eerlijk gezecht is dit voor mij toch wel de beste. Daarom zet ik alles over op Protonmail. Ben outlook spuugzat..
Dit treft enkel specifieke high profile targets die geen enkele vorm van ontdekking wouden veroozaken. Het sturen van spam is niet bepaald een goede strategie als je wilt spioneren. Je spam komt door je eigen gedragingen op het internet. Door onzorgvuldig omgaan met eigen gepubliceerde data of het toevertrouwen aan bedrijven die er vervolgens onzorgvuldig mee omspringen.
13-07-2023, 07:49 door eduardmeijer
Ben ik niet met je eens. Dit is een fout van de spamfilter van outlook. Ik klik nimmer links aan, heb Duck Duck Go als brouwser en ik bevind mij nooit op rare websites. Dus waar komen al die Ukraine girls vandaan??? Ook blokkeer ik al deze spam steeds echter het blijft maar terugkomen!!
13-07-2023, 08:45 door Anoniem
Door eduardmeijer: Ben ik niet met je eens. Dit is een fout van de spamfilter van outlook. Ik klik nimmer links aan, heb Duck Duck Go als brouwser en ik bevind mij nooit op rare websites. Dus waar komen al die Ukraine girls vandaan??? Ook blokkeer ik al deze spam steeds echter het blijft maar terugkomen!!

Blokkeren van spam/afzenders heeft geen enkel nut, het komt steeds weer vanaf andere mailadressen. Maar het probleem met de vervalste tokens is een ander probleem dan het spamfilter. Wat betreft spam doet het ook niet toe welke browser je gebruikt of op welke sites je zit, als je adres een keer op de spamlijst terecht is gekomen ben je gewoon de sjaak.
13-07-2023, 09:18 door Anoniem
Door eduardmeijer: Ben ik niet met je eens. Dit is een fout van de spamfilter van outlook. Ik klik nimmer links aan, heb Duck Duck Go als brouwser en ik bevind mij nooit op rare websites. Dus waar komen al die Ukraine girls vandaan??? Ook blokkeer ik al deze spam steeds echter het blijft maar terugkomen!!
Maakt niet uit of je het er eens mee bent of niet het is simpel weg data. Je komt enkel bij spammers op de lijst als iemand zijn werk niet heeft gedaan ergens in het opslag gedeelte.
Het is niet alsof ze raden wat een bestaand mail adres is. die lijsten worden doorverkocht voor een habbekrats na inbraak en kom je nooit meer van af met dat specifieke adres.

Controleer je mail adres via haveibeenpwned en je krijgt mogelijk een idee waar het lek zit of zat. Al als je echt had willen weten hoe het gebeurt is dan had je vanaf begin plus adressing moeten gebruiken voor redelijke acuratie. voorbeeld: mail+security.nl@eduard.nl en vervolgens voor elke site, dienst, bedrijf, contact een unieke alias moet maken.

Kan je nog steeds doen maar dan moet je wel je huidige mail adres vaarwel zeggen en opnieuw beginnen.
Ik mag van een drukke maand spreken als ik twee spam berichten per maand ontvang en moment dat er een plus adres in een datalek voren komt block je die via een ruleset en maakt een nieuwe aan. Dat is als je nog met de potentieel datalek in contact wilt blijven of gebruik maken van diensten. Beetje als de duplicaat code boven een kenteken plaat als een een plaat verloren is of vervangen moet worden.

Dit zijn van die zaken die ze eigenlijk vanaf school al moeten bij brengen maar helaas is digitale privacy en veiligheid geen echt onderdeel van enige opleiding. Zelft bij IT opleidingen leren ze je bar weinig over je eigen digitale veiligheid enkel over je netwerk en gebruikers.
13-07-2023, 09:28 door Anoniem
Door eduardmeijer: Ben ik niet met je eens. Dit is een fout van de spamfilter van outlook. Ik klik nimmer links aan, heb Duck Duck Go als brouwser en ik bevind mij nooit op rare websites. Dus waar komen al die Ukraine girls vandaan??? Ook blokkeer ik al deze spam steeds echter het blijft maar terugkomen!!

Bevinden op rare website hoef je niet. Er hoeft maar een injectie of iets anders rond te zwerven op een normale site en je kan ook al de sjaak zijn. Welke mail provider je gebruikt doet er ook niet toe. Spam wordt gedumpt naar alle mailadressen die de kunnen bemachtigen proton mail of niet.

Had dit beter gekund bij Microsoft, absoluut.
15-07-2023, 17:59 door Anoniem
Door eduardmeijer: Ben ik niet met je eens. Dit is een fout van de spamfilter van outlook. Ik klik nimmer links aan, heb Duck Duck Go als brouwser en ik bevind mij nooit op rare websites. Dus waar komen al die Ukraine girls vandaan??? Ook blokkeer ik al deze spam steeds echter het blijft maar terugkomen!!
Gebruik alsjeblieft "Reageer met quote", dan is duidelijk waar je op reageert. Ik ga ervan uit dat je reageerde op:
Door Anoniem: Dit treft enkel specifieke high profile targets die geen enkele vorm van ontdekking wouden veroozaken. Het sturen van spam is niet bepaald een goede strategie als je wilt spioneren. Je spam komt door je eigen gedragingen op het internet. Door onzorgvuldig omgaan met eigen gepubliceerde data of het toevertrouwen aan bedrijven die er vervolgens onzorgvuldig mee omspringen.
Ik ben niet die anoniem, maar ik vind het duidelijk dat die met "Dit treft enkel specifieke high profile targets" niet doelde op het ontvangen van spam over Oekraïense meiden maar op waar het artikel over gaat.

Naast je eventuele eigen onzorgvuldigheid die die anoniem noemt kan het ook de onzorgvuldigheid van een ander zijn. Er zijn apps die je adresboek leegtrekken. Eén onzorgvuldig gegeven toestemming daarvoor ergens in jouw kennissenkring en je e-mailadres komt op plekken terecht waar je niet om gevraagd hebt.

Ik heb bijvoorbeeld al ettelijke keren meegemaakt door de jaren heen dat ik mailtjes van LinkedIn kreeg die meldden dat iemand die ik kende mij via LinkedIn probeerde te bereiken. Als ik dan die persoon belde om te vragen waarom ze niet gewoon mij belden of mailden bleken ze dat helemaal niet via LinkedIn geprobeerd te hebben. Wel waren ze zo stom geweest om hun hele adresboek aan LinkedIn ter beschikking te stellen, en die tent ging dus liegen dat het die mensen waren die mij probeerden te bereiken, terwijl in werkelijkheid LinkedIn mij een account wilde aansmeren.

Door eduardmeijer: Ik heb ook protonmail en eerlijk gezecht is dit voor mij toch wel de beste. Daarom zet ik alles over op Protonmail. Ben outlook spuugzat..
Niet dat er iets mis is met Protonmail, maar ben je je ervan bewust dat je via je internetprovider hoogstwaarschijnlijk ook een e-mailadres hebt, met de mogelijkheid om gratis een aantal aliassen aan te maken die door jou en je huisgenoten gebruikt kunnen worden? Ik krijg af en toe de indruk dat de mensen die ooit enthousiast op Gmail, Outlook en dergelijke zijn overgestapt totaal uit hun bewustzijn hebben gebannen dat die mogelijkheid er ook nog is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.