Gestolen Microsoft key bood aanvallers toegang tot veel meer clouddiensten
Een gestolen signing key van Microsoft, waarmee aanvallers toegang kregen tot de e-mails van overheden en andere klanten die van Outlook.com en Exchange Online gebruikmaken, bood toegang tot veel meer clouddiensten van het techbedrijf en partners, zo stelt securitybedrijf Wiz. Het gaat om verschillende Azure Active Directory applicaties, waaronder die authenticatie via een persoonlijk account ondersteunen, zoals SharePoint, Teams, OneDrive en applicaties van derde partijen waar gebruikers door middel van "login met Microsoft" kunnen inloggen, alsmede "multi-tenant applicaties" in bepaalde situaties.
De gestolen signing key maakte het mogelijk voor aanvallers om tokens te vervalsen waarmee er toegang tot accounts kon worden gekregen die bij Outlook.com en Exchange Online worden gehost, aldus Microsoft. Het techbedrijf heeft nog altijd niet bekendgemaakt hoe de signing key kon worden gestolen. Daarnaast zouden er twee kwetsbaarheden in het proces voor het verifiëren van tokens zijn misbruikt, maar ook hierover zijn nog geen details verschenen.
Volgens Wiz is de impact veel groter dan Microsoft doet voorkomen, omdat de gestolen signing key toegang tot veel meer diensten bood. Organisaties zouden daarom misbruik van de gestolen key in hun omgeving moeten controleren. "We denken dat de gestolen key een private key was bedoeld voor Microsofts MSA tenant in Azure, en ook OpenID v2.0 tokens voor meerdere soorten Azure Active Directory applicaties kon signeren", aldus het securitybedrijf.
"De signing keys van een identiteitsprovider zijn waarschijnlijk de krachtigste geheimen in de moderne wereld", stelt onderzoeker Shir Tamari. "Met de keys van een identiteitsprovider kan er meteen toegang tot alles worden verkregen, elke mailbox, bestandsdienst of cloudaccount." Tamari vermoedt dat de aanval gevolgen zal hebben voor het vertrouwen in de cloud en de volledige omvang van het incident lastig te bepalen is, aangezien miljoenen applicaties risico liepen.
Het gaat zowel om Microsofts eigen apps als die van klanten en de meeste daarvan hebben onvoldoende logging om te bepalen of ze zijn gecompromitteerd, aldus de onderzoeker. Afsluitend bedankt Tamari Microsoft, dat meewerkte aan de analyse van het securitybedrijf om te controleren dat alles klopte.
Reacties (22)
nou nou de wolk wordt donker hoor! het was toch gewoon wachten op de dag eigenlijk...
ja lekker zo.en fijn dat het outlook ook nog zit ingebouwde in Windows 10/11....hoe komt het toch dat Google het beter voor elkaar heeft ??en veel serieus mee om gaat...
ja even mijn besturingssysteem Windows 11 op Microsoft cloud nou neen toch....?
Door Anoniem: ja lekker zo.en fijn dat het outlook ook nog zit ingebouwde in Windows 10/11....hoe komt het toch dat Google het beter voor elkaar heeft ??en veel serieus mee om gaat...
Om dat zij de data als alleen recht zien zo dat die meer opbrengt en hun aandeelhouders gelukkig blijven metgrote winsten.
Door Anoniem: ja lekker zo.en fijn dat het outlook ook nog zit ingebouwde in Windows 10/11....hoe komt het toch dat Google het beter voor elkaar heeft ??en veel serieus mee om gaat...
Google!, ook daar wil ik mijn belangrijke e-mails niet parkeren.Door Anoniem: Vooral het gebrek aan voldoende logging is natuurlijk schreiend
Dat is natuurlijk nog maar de vraag. Wie gaat die logging controleren? Iedereen wordt verteld dat je met Office 365 veilig bent en alles door Microsoft geregeld wordt dus het is veilig? MKB klanten nemen het goedkoopste abonnement af en nemen echt geen contract voor onderhoud af, zeker niet als ze zelf de creditcard getrokken hebben voor het abonnement.
Ik heb nog nooit zoveel werk gehad aan alle problemen rondom Office 365 en als ik dat vertel haalt iedereen zijn schouders op. Er zijn er zelfs die niet geïnteresseerd zijn in een back-up faciliteit want het gaat toch nooit mis in de Cloud bij Microsoft en dat kost alleen maar extra geld?
Men wil gewoon niet snappen dat het anders moet maar het onbegrip blijft totdat het een keer verkeerd gaat en dan zijn de spreekwoordelijke rapen gaar.
Het techbedrijf heeft nog altijd niet bekendgemaakt hoe de signing key kon worden gestolen
Dan moeten ze zeggen dat ze zelf zijn gehackt. Gaan ze niet toegeven.Door Anoniem: ja lekker zo.en fijn dat het outlook ook nog zit ingebouwde in Windows 10/11....hoe komt het toch dat Google het beter voor elkaar heeft ??en veel serieus mee om gaat...
Google komt nog wel aan de beurt hoor? De vraag is, wanneer. Maar ach, grote bedrijven als google weet dat wel te verstoppen. Er zijn namelijk al een billion van google accounts gehackt door de jaren heen. Waarschijnlijk nu net zoveel als microsoft accounts.Entra ID (AzureAD) maakt per app een eigen signing certificaat aan.
Dat staat haaks op de bewering hierboven.
Dat staat haaks op de bewering hierboven.
Door Anoniem: Entra ID (AzureAD) maakt per app een eigen signing certificaat aan.
Dat staat haaks op de bewering hierboven.
Die signing certs worden gesigned met een root cert. Als er een root cert zit tussen de sleutels die buitgemaakt zijn dan is het game over voor MS en alle klanten. Dit wordt een hele pijnlijjke voor MS nog afgezien van de gevonden kwetsbaarheden. Tijdens de Solarwinds hack zijn er bij MS ook vele kwetsbaarheden buitgemaakt waarvan we nu nog steeds last hebben. MS houdt meer onder de pet dan ze willen toegeven. Ik snap dat ook wel want als uitlekt dat ze aan alle kanten gep0wned zijn dan kunnen ze miljarden claims verwachten. En dat geld hebben ze niet dus kan dat het faillisement van MS betekenen. En je weet wat dat voor bedrijjven en gebruikers betekend. We hebben ons veel te afhankelijk gemaakt van Microsoft door de jaren heen en als Microsoft onderuit gaat gaan wij met zijn allen keihard mee. Zorg dat je backups en data en je omgevingen schoon zijn en ruk plan B uit de kast, als je die tenminste hebt. The chimes of doom are ringing.Dat staat haaks op de bewering hierboven.
Het grote nadeel van al die "modern authentication" systemen is dat het te moeilijk is om te begrijpen hoe ze werken.
Vroeger met je usernaam en password wist je nog dat dat de belangrijke informatie was, maar nu zijn er allerlei componenten bij betrokken waarvan je niet eens wist dat ze bestonden, laat staan dat de diefstal er van invloed heeft op de veiligheid van persoonlijke informatie.
Echt hoor, als ik hoor "app signing key" dan denk ik aan iets wat voor het OS mogelijk maakt om te checken of dat de app die ik op mijn machine heb wel van de leverancier af komt, niet aan iets waarmee je e-mail accounts kunt leeglepelen.
Dus daar is kennelijk iets gemaakt wat te complex is om te begrijpen. Uitfaseren, zou ik zeggen.
Vroeger met je usernaam en password wist je nog dat dat de belangrijke informatie was, maar nu zijn er allerlei componenten bij betrokken waarvan je niet eens wist dat ze bestonden, laat staan dat de diefstal er van invloed heeft op de veiligheid van persoonlijke informatie.
Echt hoor, als ik hoor "app signing key" dan denk ik aan iets wat voor het OS mogelijk maakt om te checken of dat de app die ik op mijn machine heb wel van de leverancier af komt, niet aan iets waarmee je e-mail accounts kunt leeglepelen.
Dus daar is kennelijk iets gemaakt wat te complex is om te begrijpen. Uitfaseren, zou ik zeggen.
Die jongens uit bijvoorbeeld Beer-Sheva en Tel-Aviv vinden er nog wel een paar.
De Sabra met de ervaring. Ze zitten niet alleen bij MS binnen.
Goede week allemaal,
De Sabra met de ervaring. Ze zitten niet alleen bij MS binnen.
Goede week allemaal,
Door Anoniem:
Eindelijk iemand die ziet wat de mogelijke gevolgen zijn om jezelf afhankelijk te maken van een bedrijf met closes cource software.Door Anoniem: Entra ID (AzureAD) maakt per app een eigen signing certificaat aan.
Dat staat haaks op de bewering hierboven.
Die signing certs worden gesigned met een root cert. Als er een root cert zit tussen de sleutels die buitgemaakt zijn dan is het game over voor MS en alle klanten. Dit wordt een hele pijnlijjke voor MS nog afgezien van de gevonden kwetsbaarheden. Tijdens de Solarwinds hack zijn er bij MS ook vele kwetsbaarheden buitgemaakt waarvan we nu nog steeds last hebben. MS houdt meer onder de pet dan ze willen toegeven. Ik snap dat ook wel want als uitlekt dat ze aan alle kanten gep0wned zijn dan kunnen ze miljarden claims verwachten. En dat geld hebben ze niet dus kan dat het faillisement van MS betekenen. En je weet wat dat voor bedrijjven en gebruikers betekend. We hebben ons veel te afhankelijk gemaakt van Microsoft door de jaren heen en als Microsoft onderuit gaat gaan wij met zijn allen keihard mee. Zorg dat je backups en data en je omgevingen schoon zijn en ruk plan B uit de kast, als je die tenminste hebt. The chimes of doom are ringing.Dat staat haaks op de bewering hierboven.
En niet te vergeten van het web er om heen, als je afhankelijk bent van software die alleen op Windows draait ben je een aan de beurt.
Door Anoniem:
grote winsten.
Microsoft is een makkelijke prooi. Daarnaast is Google veel geslotener over de gevonden gaten. Ook deze toegang die nu verkregen is zo’n vergelijkbare situatie heeft Google ook gehad. Daarnaast aangeven dat Outlook op Windows 10/11 zit ingebakken terwijl het bericht over de webdienst gaat en jij het over een lokaal applicatie hebt doet mij vermoeden dat je of niet weet wat heet verschil is of je bent een troll.Door Anoniem: ja lekker zo.en fijn dat het outlook ook nog zit ingebouwde in Windows 10/11....hoe komt het toch dat Google het beter voor elkaar heeft ??en veel serieus mee om gaat...
Om dat zij de data als alleen recht zien zo dat die meer opbrengt en hun aandeelhouders gelukkig blijven metgrote winsten.
Door Anoniem:
En niet te vergeten van het web er om heen, als je afhankelijk bent van software die alleen op Windows draait ben je een aan de beurt.
Dit is het geval bij eigenlijk alle software producten.Door Anoniem:
Eindelijk iemand die ziet wat de mogelijke gevolgen zijn om jezelf afhankelijk te maken van een bedrijf met closes cource software.Door Anoniem: Entra ID (AzureAD) maakt per app een eigen signing certificaat aan.
Dat staat haaks op de bewering hierboven.
Die signing certs worden gesigned met een root cert. Als er een root cert zit tussen de sleutels die buitgemaakt zijn dan is het game over voor MS en alle klanten. Dit wordt een hele pijnlijjke voor MS nog afgezien van de gevonden kwetsbaarheden. Tijdens de Solarwinds hack zijn er bij MS ook vele kwetsbaarheden buitgemaakt waarvan we nu nog steeds last hebben. MS houdt meer onder de pet dan ze willen toegeven. Ik snap dat ook wel want als uitlekt dat ze aan alle kanten gep0wned zijn dan kunnen ze miljarden claims verwachten. En dat geld hebben ze niet dus kan dat het faillisement van MS betekenen. En je weet wat dat voor bedrijjven en gebruikers betekend. We hebben ons veel te afhankelijk gemaakt van Microsoft door de jaren heen en als Microsoft onderuit gaat gaan wij met zijn allen keihard mee. Zorg dat je backups en data en je omgevingen schoon zijn en ruk plan B uit de kast, als je die tenminste hebt. The chimes of doom are ringing.Dat staat haaks op de bewering hierboven.
En niet te vergeten van het web er om heen, als je afhankelijk bent van software die alleen op Windows draait ben je een aan de beurt.
Jumpcloud is daar ook een mooi voorbeeld van en zo kunnen we nog wel even door gaan.
En niemand is afhankelijk van Microsoft, je kunt altijd overstappen. Of dit mogelijk is en de grote van de risico's en impact, is een heel ander verhaal.
of je bent een troll.
Misschien heb je wel gelijk maar als ik die opmerking over Google lees kan ik die persoon niet serieus nemen.En blijkbaar begrijp jij de invloed van hoe winst maken en het belang hier van voor de aandeelhouders niet. En
het effect hier van voor de gebruikers die hier de dupe van zijn. Lees de reactie van vandaag 12:24 maar eens
en waarop hij op reageert. En wat voor een bedrijf Google is, als je dat nog niet begrijpt dan houd het gewoon op,
trouwens mij reactie was sarcastisch bedoeld nu begrijp je waarschijnlijk ook waarom.
[cynic]Goh? Wat gek zeg. Er zijn toch experts die dat wel snappen? Dit verwacht je toch niet?[/cynic]
Neen, dat is het eigenlijk niet. Vroeger had men expert beheerders die wisten hoe dit werkte en waar wat voor diende.
De enige manier om dit recht te trekken is de key revoken dan pas weet je waar dit stuk gaat.
En dan weet je ook waar MS gehacked is.
Vreemd he dat een signing key is re-used, net zoals code.....trend.
Volgende week komen ze vast met een gevonden kwetsbaarheid in Macos.
Vooral het gebrek aan voldoende logging is natuurlijk schreiend
monetise everything, eerst betalen. (klinkt bijna als ransomware he?) Door Anoniem: Het grote nadeel van al die "modern authentication" systemen is dat het te moeilijk is om te begrijpen hoe ze werken.....
Uitfaseren, zou ik zeggen.
Uitfaseren, zou ik zeggen.
Neen, dat is het eigenlijk niet. Vroeger had men expert beheerders die wisten hoe dit werkte en waar wat voor diende.
De enige manier om dit recht te trekken is de key revoken dan pas weet je waar dit stuk gaat.
En dan weet je ook waar MS gehacked is.
Vreemd he dat een signing key is re-used, net zoals code.....trend.
Volgende week komen ze vast met een gevonden kwetsbaarheid in Macos.
Door Anoniem:
Hoe kom je daar bij? concurrent? Google publiceert regelmatig zelf gevonden kwetsbaarheden. Bij Microsoft patch dinsdag zie je dat alle kritieke kwetsbaarheden door externen worden gevonden.Door Anoniem:
grote winsten.
Microsoft is een makkelijke prooi. Daarnaast is Google veel geslotener over de gevonden gaten. Ook deze toegang die nu verkregen is zo’n vergelijkbare situatie heeft Google ook gehad. Daarnaast aangeven dat Outlook op Windows 10/11 zit ingebakken terwijl het bericht over de webdienst gaat en jij het over een lokaal applicatie hebt doet mij vermoeden dat je of niet weet wat heet verschil is of je bent een troll.Door Anoniem: ja lekker zo.en fijn dat het outlook ook nog zit ingebouwde in Windows 10/11....hoe komt het toch dat Google het beter voor elkaar heeft ??en veel serieus mee om gaat...
Om dat zij de data als alleen recht zien zo dat die meer opbrengt en hun aandeelhouders gelukkig blijven metgrote winsten.
Door Anoniem:
Door Anoniem:
Hoe kom je daar bij? concurrent? Google publiceert regelmatig zelf gevonden kwetsbaarheden. Bij Microsoft patch dinsdag zie je dat alle kritieke kwetsbaarheden door externen worden gevonden.Door Anoniem:
grote winsten.
Microsoft is een makkelijke prooi. Daarnaast is Google veel geslotener over de gevonden gaten. Ook deze toegang die nu verkregen is zo’n vergelijkbare situatie heeft Google ook gehad. Daarnaast aangeven dat Outlook op Windows 10/11 zit ingebakken terwijl het bericht over de webdienst gaat en jij het over een lokaal applicatie hebt doet mij vermoeden dat je of niet weet wat heet verschil is of je bent een troll.Door Anoniem: ja lekker zo.en fijn dat het outlook ook nog zit ingebouwde in Windows 10/11....hoe komt het toch dat Google het beter voor elkaar heeft ??en veel serieus mee om gaat...
Om dat zij de data als alleen recht zien zo dat die meer opbrengt en hun aandeelhouders gelukkig blijven metgrote winsten.
Google heeft blijkbaar tijd en geld genoeg om hele afdelingen op te tuigen en kwetsbaarheden te zoek in producten van concurrenten inderdaad.
Ik had nog niet begrepen vanuit het internet dat alle kwestbaarheden in Android al,opgelost waren?
Volgens mij krijgen de meeste nu daadwerkelijk in gebruik zijnde Android telefoons al geen of uiterst laat en belabberd security updates binnen.
Google vindt dat de taak van een ander maar heeft ten tijd van Covid prima laten zien ineens TOCH apps of je het nou wilt of niet naar je telefoon te kunnen pushen.......
Door Anoniem:
Het techbedrijf heeft nog altijd niet bekendgemaakt hoe de signing key kon worden gestolen
Dan moeten ze zeggen dat ze zelf zijn gehackt. Gaan ze niet toegeven.Een signing key buitmaken gaat iets verder dan het "hacken", mits goed beheerd door de sleutelbeheerders. Het zou zo maar kunnen dat deze sleutel "fysiek" is ontfutseld. Hoe dan ook, hoe de sleutel is buitgemaakt is een hoofdpijn-dosier voor de CSO. Dat nog buiten de schade aan reputatie en klantschade.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
