Microsoft getroffen door nieuwe inbraak op interne systemen en repositories
Microsoft is getroffen door een nieuwe inbraak op interne systemen en repositories met broncode. Ook zijn secrets die het techbedrijf met klanten uitwisselde buitgemaakt. De aanval is uitgevoerd door de groep aanvallers die vorig jaar wekenlang onopgemerkt toegang tot zakelijke e-mailaccounts van Microsoft had, aldus Microsoft in een zeer summiere, vandaag gepubliceerde verklaring.
In de verklaring stelt Microsoft dat het de afgelopen weken bewijs heeft gezien dat de aanvallers informatie gebruiken die ze vorig jaar uit de zakelijke e-mailsystemen van het bedrijf hebben gestolen om ongeautoriseerde toegang te krijgen. Daarbij is het de aanvallers gelukt om toegang tot meerdere 'source code repositories' en interne systemen van Microsoft te krijgen. Om welke repositories en interne systemen het gaat is niet bekendgemaakt.
Daarnaast hebben de aanvallers bij de aanval vorig jaar ook 'secrets' buitgemaakt die via e-mail door Microsoft met klanten werden gedeeld. De aanvallers proberen nu deze secrets te gebruiken. Microsoft zegt dat het de klanten in kwestie heeft ingelicht en helpt bij het nemen van mitigerende klanten. Wederom ontbreken details zoals om wat voor secrets het gaat, waar de aanvallers toegang toe proberen te krijgen en hoeveel klanten zijn getroffen.
Password spraying
De inbraak op de e-mailsystemen van Microsoft vorig jaar vond plaats via password spraying. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd.Microsoft stelde eerder dit jaar dat de aanvallers op deze manier eind november vorig jaar toegang kregen tot een 'legacy non-production test tenant account'. Vervolgens gebruikten de aanvallers de permissies van dit account om toegang tot zakelijke e-mailaccounts van Microsoft zelf te krijgen. Het ging om medewerkers van het hoger management, het cybersecurity team, juridische afdeling en andere functies. Daarbij werden e-mails en bijlagen gestolen.
Vandaag laat Microsoft aanvullend weten dat de groep aanvallers het aantal password spraying-aanvallen heeft opgevoerd. De groep aanvallers wordt door het techbedrijf 'Midnight Blizzard' genoemd en zou een vanuit Rusland opererend statelijke actor zijn die ook bekendstaat als Cozy Bear of APT29.
Zo te zien kunnen we weer iets verwachten vergelijkbaar met SolarWInds.
Dat is ook wel een beetje veel gevraagd.
Microsoft heeft hier te maken met zeer geavanceerde aanvallen van een statelijke actor. Die hacken beheeraccounts zonder MFA. Daarna gebruiken ze de wachtwoorden of API sleutels uit interne e-mails om opnieuw in te loggen en toegang te behouden.
Daar is gewoon niemand tegen opgewassen. En al helemaal niet organisaties die nog steeds wachtwoorden gebruiken, geen MFA instellen op beheeraccounts, signing keys niet in een HSM opslaan en naar nu blijkt API sleutels of andere 'secrets' niet regelmatig verversen.
Blokkeer trackers en verberg je adres.
Dat is ook wel een beetje veel gevraagd.
Microsoft heeft hier te maken met zeer geavanceerde aanvallen van een statelijke actor. Die hacken beheeraccounts zonder MFA. Daarna gebruiken ze de wachtwoorden of API sleutels uit interne e-mails om opnieuw in te loggen en toegang te behouden.
Daar is gewoon niemand tegen opgewassen. En al helemaal niet organisaties die nog steeds wachtwoorden gebruiken, geen MFA instellen op beheeraccounts, signing keys niet in een HSM opslaan en naar nu blijkt API sleutels of andere 'secrets' niet regelmatig verversen.
En als MFA, van Microsoft zelf, te hacken valt dan hebben ze een veel groter probleem wat ze nu onder het tapijt proberen te vegen.
Statelijke actor 100 punten, geavanceerd? Daar heb ik zo mijn bedenkingen bij.
met user enumeratie nog op ingeschakeld laten staan als "admin", "admin".
Dan hoef je als hacker al niet zoveel moeite meer te doen.
Dat is ook wel een beetje veel gevraagd.
Microsoft heeft hier te maken met zeer geavanceerde aanvallen van een statelijke actor. Die hacken beheeraccounts zonder MFA. Daarna gebruiken ze de wachtwoorden of API sleutels uit interne e-mails om opnieuw in te loggen en toegang te behouden.
Daar is gewoon niemand tegen opgewassen. En al helemaal niet organisaties die nog steeds wachtwoorden gebruiken, geen MFA instellen op beheeraccounts, signing keys niet in een HSM opslaan en naar nu blijkt API sleutels of andere 'secrets' niet regelmatig verversen.
producten verkopen aan klanten, dan zelf je zaken niet op orde hebben en powned raken en je klanten zijn daarvan de dupe en dan nu huilie huilie 'het is ook allemaal zo moeilijk en lastig'? kom nou, het is gewoon een beetje sneu allemaal. amateuristisch zelfs. en hetgeen mij echt zorgen baart is dat half NL zijn mail omgeving aan die kneuzen gegeven heeft inmiddels. alle eieren in een fragiel mandje is dat en een grote SPOF aan het worden.
Zo te zien kunnen we weer iets verwachten vergelijkbaar met SolarWInds.
Russians... Russians everywhere.
Dat is ook wel een beetje veel gevraagd.
Microsoft heeft hier te maken met zeer geavanceerde aanvallen van een statelijke actor. Die hacken beheeraccounts zonder MFA. Daarna gebruiken ze de wachtwoorden of API sleutels uit interne e-mails om opnieuw in te loggen en toegang te behouden.
Daar is gewoon niemand tegen opgewassen. En al helemaal niet organisaties die nog steeds wachtwoorden gebruiken, geen MFA instellen op beheeraccounts, signing keys niet in een HSM opslaan en naar nu blijkt API sleutels of andere 'secrets' niet regelmatig verversen.
producten verkopen aan klanten, dan zelf je zaken niet op orde hebben en powned raken en je klanten zijn daarvan de dupe en dan nu huilie huilie 'het is ook allemaal zo moeilijk en lastig'? kom nou, het is gewoon een beetje sneu allemaal. amateuristisch zelfs. en hetgeen mij echt zorgen baart is dat half NL zijn mail omgeving aan die kneuzen gegeven heeft inmiddels. alle eieren in een fragiel mandje is dat en een grote SPOF aan het worden.
Dat is ook wel een beetje veel gevraagd.
Microsoft heeft hier te maken met zeer geavanceerde aanvallen van een statelijke actor. Die hacken beheeraccounts zonder MFA. Daarna gebruiken ze de wachtwoorden of API sleutels uit interne e-mails om opnieuw in te loggen en toegang te behouden.
Daar is gewoon niemand tegen opgewassen. En al helemaal niet organisaties die nog steeds wachtwoorden gebruiken, geen MFA instellen op beheeraccounts, signing keys niet in een HSM opslaan en naar nu blijkt API sleutels of andere 'secrets' niet regelmatig verversen.
producten verkopen aan klanten, dan zelf je zaken niet op orde hebben en powned raken en je klanten zijn daarvan de dupe en dan nu huilie huilie 'het is ook allemaal zo moeilijk en lastig'? kom nou, het is gewoon een beetje sneu allemaal. amateuristisch zelfs. en hetgeen mij echt zorgen baart is dat half NL zijn mail omgeving aan die kneuzen gegeven heeft inmiddels. alle eieren in een fragiel mandje is dat en een grote SPOF aan het worden.
overheden en bestuurders enzv hebben vaak last van sunken cost fallacy. toegeven of accepteren dat het anders moet gaat gepaard met moeite en kosten en bevestigen dat ingeslagen weg niet de juiste was. het is bijna onmogelijk voor mensen om hier logisch over te denken en we zullen dus nog wel een tijd doormodderen en dingen zullen nog wel erger gaan worden. de hoop zit em in de jongere generaties die niet hun leven en energie reeds diep geïnvesteerd hebben in de 'verkeerde weg'. gaat zo met 'nieuwe bestuurs cultuur', met natuurbehoud, met duurzaamheid en afhankelijkheid van gas en olie etc. etc. etc.
https://www.securityweek.com/microsoft-says-russian-gov-hackers-stole-source-code-after-spying-on-executive-emails/
Maar in de SEC filing is daar niets over terug te vinden.
https://www.securityweek.com/microsoft-says-russian-gov-hackers-stole-source-code-after-spying-on-executive-emails/
Maar in de SEC filing is daar niets over terug te vinden.
Niet best als de hackers wel toegang tot sources hebben en de onafhankelijke externe security mensen niet. Dus windows open source maken is de enige oplossing als dit platform wil overleven, maar ja dan zien we echt hoe slecht de code is. Dat gaat hem dus niet worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.