image

Microsoft: duizenden organisaties doelwit van password spraying-aanvallen

vrijdag 15 september 2023, 09:55 door Redactie, 6 reacties

Duizenden organisaties, onder andere in de satelliet-, farmaceutische en defensiesector, zijn sinds februari het doelwit van password spraying-aanvallen, zo stelt Microsoft. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt.

Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Zodra het de aanvallers lukt om op een account in te loggen, maken ze gebruik van zowel publiek beschikbare als zelfontwikkelde tools om het netwerk van de organisatie verder te verkennen, daar toegang toe te behouden en zich lateraal naar andere machines te bewegen. Bij een klein deel van de aanvallen maakten de aanvallers ook gegevens buit, aldus Microsoft.

Naast het gebruik van password spraying proberen de aanvallers ook door middel van bekende kwetsbaarheden in Zoho ManageEngine-producten (CVE-2022-47966) en Confluence Server en Data Center (CVE-2022-26134) bij organisaties binnen te dringen. Volgens Microsoft zijn de aanvallen het werk van een groep met de naam 'Peach Sandstorm', die vanuit Iran opereert. Daarbij lijken de aanvallers zich netjes aan kantooruren te houden, aangezien de aanvallen voornamelijk tussen 9.00 en 17.00 uur Iraanse tijd worden uitgevoerd. Om de aanvallen tegen te gaan adviseert Microsoft onder andere het instellen van multifactorauthenticatie (MFA).

Image

Reacties (6)
15-09-2023, 11:11 door Anoniem
Wij adviseren om authenticatie te doen op basis van SSH key met passphrase
15-09-2023, 11:50 door Anoniem
Door Anoniem: Wij adviseren om authenticatie te doen op basis van SSH key met passphrase
Wordt lastig om daarmee op M365 in te loggen. Want daar heeft Microsoft het over.
Daanaast mag ik hopen dat SSH niet aan het internet ontsloten is.
15-09-2023, 18:13 door Anoniem
Door Anoniem:
Door Anoniem: Wij adviseren om authenticatie te doen op basis van SSH key met passphrase
Wordt lastig om daarmee op M365 in te loggen. Want daar heeft Microsoft het over.
Daanaast mag ik hopen dat SSH niet aan het internet ontsloten is.
Waarom zou je ssh niet aan het internet hangen?
Von inlogsystemen hebben vaker met lekkages te maken dan ssh. Als er 1 poort wel open kan is ssh de meest veilige. (Mits je natuurlijk ook een up-to-date ssh-server eraan hangt.
16-09-2023, 20:11 door Anoniem
Vroeger noemde we dit een dictionary attack, maar Microsoft heeft weer een hippe naam nodig.

Door Anoniem:
Waarom zou je ssh niet aan het internet hangen?
Von inlogsystemen hebben vaker met lekkages te maken dan ssh. Als er 1 poort wel open kan is ssh de meest veilige. (Mits je natuurlijk ook een up-to-date ssh-server eraan hangt.

SSH is niet zo veilig als je hier suggereert. Zo'n wachtwoordaanval toont dat wel aan. De defaults in de conf zijn niet erg sterk. Er zijn regelmatig OpenSSH security updates.

https://www.cvedetails.com/product/585/Openbsd-Openssh.html?vendor_id=97

Je kan op netwerkniveau per IP of reeks toegang geven en/of binnen de conf een bepaalde IP of reeks toestaan. Dat is de hoofdregel, alleen als het niet anders kan open zetten voor de wereld. Als het voor prive is, zet je hem natuurlijk op een andere poort.
18-09-2023, 11:29 door Anoniem
Door Anoniem: Vroeger noemde we dit een dictionary attack, maar Microsoft heeft weer een hippe naam nodig.

Door Anoniem:
Waarom zou je ssh niet aan het internet hangen?
Von inlogsystemen hebben vaker met lekkages te maken dan ssh. Als er 1 poort wel open kan is ssh de meest veilige. (Mits je natuurlijk ook een up-to-date ssh-server eraan hangt.

SSH is niet zo veilig als je hier suggereert. Zo'n wachtwoordaanval toont dat wel aan. De defaults in de conf zijn niet erg sterk. Er zijn regelmatig OpenSSH security updates.

https://www.cvedetails.com/product/585/Openbsd-Openssh.html?vendor_id=97

Je kan op netwerkniveau per IP of reeks toegang geven en/of binnen de conf een bepaalde IP of reeks toestaan. Dat is de hoofdregel, alleen als het niet anders kan open zetten voor de wereld. Als het voor prive is, zet je hem natuurlijk op een andere poort.
Je moet helemaal geen wachtwoord gebruiken. Linux != windows
Als SSH niet voor wereldwijde toegang bedoeld is moet je het niet voor de hele wereld open zetten. Logisch toch.
Doen we zelfs intern niet.
18-09-2023, 11:31 door Anoniem
Door Anoniem:
Door Anoniem: Wij adviseren om authenticatie te doen op basis van SSH key met passphrase
Wordt lastig om daarmee op M365 in te loggen. Want daar heeft Microsoft het over.
Daanaast mag ik hopen dat SSH niet aan het internet ontsloten is.
Dat snap ik want met naam wachtwoord inloggen is behoorlijk ouderwets.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.