Nieuws

Microsoft: duizenden organisaties doelwit van password spraying-aanvallen

vrijdag 15 september 2023, 09:55 door Redactie, 6 reacties

Duizenden organisaties, onder andere in de satelliet-, farmaceutische en defensiesector, zijn sinds februari het doelwit van password spraying-aanvallen, zo stelt Microsoft. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt.

Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Zodra het de aanvallers lukt om op een account in te loggen, maken ze gebruik van zowel publiek beschikbare als zelfontwikkelde tools om het netwerk van de organisatie verder te verkennen, daar toegang toe te behouden en zich lateraal naar andere machines te bewegen. Bij een klein deel van de aanvallen maakten de aanvallers ook gegevens buit, aldus Microsoft.

Naast het gebruik van password spraying proberen de aanvallers ook door middel van bekende kwetsbaarheden in Zoho ManageEngine-producten (CVE-2022-47966) en Confluence Server en Data Center (CVE-2022-26134) bij organisaties binnen te dringen. Volgens Microsoft zijn de aanvallen het werk van een groep met de naam 'Peach Sandstorm', die vanuit Iran opereert. Daarbij lijken de aanvallers zich netjes aan kantooruren te houden, aangezien de aanvallen voornamelijk tussen 9.00 en 17.00 uur Iraanse tijd worden uitgevoerd. Om de aanvallen tegen te gaan adviseert Microsoft onder andere het instellen van multifactorauthenticatie (MFA).

Kaag: motie tegen rekening-gebaseerde digitale euro nog niet volledig uitgevoerd

Gegevens Britse politieagenten gestolen bij ransomware-aanval op leverancier

Reacties (6)

15-09-2023, 11:11 door Anoniem

Wij adviseren om authenticatie te doen op basis van SSH key met passphrase

15-09-2023, 11:50 door Anoniem

Door Anoniem: Wij adviseren om authenticatie te doen op basis van SSH key met passphrase

Wordt lastig om daarmee op M365 in te loggen. Want daar heeft Microsoft het over.
Daanaast mag ik hopen dat SSH niet aan het internet ontsloten is.

15-09-2023, 18:13 door Anoniem

Door Anoniem:

Door Anoniem: Wij adviseren om authenticatie te doen op basis van SSH key met passphrase

Wordt lastig om daarmee op M365 in te loggen. Want daar heeft Microsoft het over.
Daanaast mag ik hopen dat SSH niet aan het internet ontsloten is.

Waarom zou je ssh niet aan het internet hangen?
Von inlogsystemen hebben vaker met lekkages te maken dan ssh. Als er 1 poort wel open kan is ssh de meest veilige. (Mits je natuurlijk ook een up-to-date ssh-server eraan hangt.

16-09-2023, 20:11 door Anoniem

Vroeger noemde we dit een dictionary attack, maar Microsoft heeft weer een hippe naam nodig.

Door Anoniem:
Waarom zou je ssh niet aan het internet hangen?
Von inlogsystemen hebben vaker met lekkages te maken dan ssh. Als er 1 poort wel open kan is ssh de meest veilige. (Mits je natuurlijk ook een up-to-date ssh-server eraan hangt.

SSH is niet zo veilig als je hier suggereert. Zo'n wachtwoordaanval toont dat wel aan. De defaults in de conf zijn niet erg sterk. Er zijn regelmatig OpenSSH security updates.

https://www.cvedetails.com/product/585/Openbsd-Openssh.html?vendor_id=97

Je kan op netwerkniveau per IP of reeks toegang geven en/of binnen de conf een bepaalde IP of reeks toestaan. Dat is de hoofdregel, alleen als het niet anders kan open zetten voor de wereld. Als het voor prive is, zet je hem natuurlijk op een andere poort.

18-09-2023, 11:29 door Anoniem

Door Anoniem: Vroeger noemde we dit een dictionary attack, maar Microsoft heeft weer een hippe naam nodig.

Je moet helemaal geen wachtwoord gebruiken. Linux != windows
Als SSH niet voor wereldwijde toegang bedoeld is moet je het niet voor de hele wereld open zetten. Logisch toch.
Doen we zelfs intern niet.

18-09-2023, 11:31 door Anoniem

Door Anoniem:

Door Anoniem: Wij adviseren om authenticatie te doen op basis van SSH key met passphrase

Wordt lastig om daarmee op M365 in te loggen. Want daar heeft Microsoft het over.
Daanaast mag ik hopen dat SSH niet aan het internet ontsloten is.

Dat snap ik want met naam wachtwoord inloggen is behoorlijk ouderwets.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer