Security Professionals - ipfw add deny all from eindgebruikers to any

Speculatie over Politie-hack

29-09-2024, 03:06 door Erik van Straten, 30 reacties
Indien organisaties hun werknemers de mogelijkheid niet ontnemen (goed gedaan Microsoft! (not)) om "apps" namens hen in te laten loggen en "handige" dingen te laten doen in "hun" wolk, kan het zwaar weer worden bij elk van die organisaties. Elke werknemer is dan immers een SPOF (Single Point Of Failure).

Nb. in dit artikel verwijs ik veel naar andere postings van mijzelf om dit stuk niet nóg veel langer te maken.

Uit https://nos.nl/artikel/2538819-politie-opent-meldpunt-voor-medewerkers-om-zorgen-over-datalek:
28-09-2024, door Bauke Haanstra: Politie opent meldpunt voor medewerkers om zorgen over datalek
[...]
Erik Westhovens is cybersecurity-expert en legt uit dat hij de nieuwe methode afgelopen week pas voor het eerst in Nederland zag. Westhovens: "Op woensdag meldden bedrijven uit de logistieke sector zich bij mij dat ze met zulke hacks te maken hadden."
[...]

Vette opmaak toegevoegd door mij, uit https://nl.linkedin.com/posts/erikwesthovens_met-meer-dan-700000-gebruikers-en-devices-activity-7244641565246205952-CaD6:
25-09-2024, door Erik Westhovens: [...]
De gebruiker klikt op een linkje in een mail en logged in tegen een nagemaakt Microsoft signin pagina. (Evilgnix of Golang Muraena).
Er komt meteen een signin vanuit een IP adres in Amerika waarbij de MFA als previously matched word gezet. Er komt een sigin op microsoft Exchange, Apps en authentication methods en dan is het een minuut of 10 stil.
[...]

Een comment in diezelfde pagina:
28-09-2024, door Jeremy Pot: De app registration werkt gelukkig niet gezien deze geen admin granted API rechten heeft. Ik vermoed eerder dat het adresboek middels graph api met de phished session geëxporteerd is, dit is vaak een standaard geautomatiseerde handeling zodra een user compromised is.

Dat laatste is ook een slecht teken, want dat betekend dat de politie niet doet aan phish resistant mfa, Intune device compliance, of aan meer geavanceerde CSS M365 detectie.
[...]

Primaire probleem: website impersonatie
Het primaire probleem hier is dat iemand op een link klikt en in diens browser een pagina ziet dat 100% identiek is aan een (Microsoft) inlogpagina. Twee externe redenen waarom die persoon vervolgens inlogt zijn:

1) Mensen zijn incompatibel met domeinnamen; zie https://security.nl/posting/852763.

2) Steeds meer onterecht uitgegeven https servercertificaten:
• Zie de twee reacties op https://infosec.exchange/@ErikvanStraten/112914047006977222.

• En, meer recent: https://arstechnica.com/security/2024/09/rogue-whois-server-gives-researcher-superpowers-no-one-should-ever-have/.

• Ook "leuk": https://crt.sh/?id=11860140411: Let's Encrypt gaf een certificaat uit aan chenpinji.xyz dat tevens geldig was voor 14.au.www.download.windowsupdate.com.

Browsers en certificaten
Omdat het, in de situatie zoals beschreven door Erik Westhovens, om een website gaat die een internetter nog nooit met diens browser heeft geopend, zou die browser, alvorens de pagina-inhoud te downloaden en te tonen, éérst zoveel mogelijk details over de betreffende website kunnen laten zien, waaronder:

a. De volledige domeinnaam. Als het om een IDN (International Domain Name) gaat, tevens de Punycode variant met een help-knop erbij;

b. Een loeigrote waarschuwing als het om een http-verbinding gaat, en anders:

c. Het soort certificaat: DV (Domain Validated), OV (Organization-), EV (Enhanced-), QWAC (Qualified Website Authentication Certificate) en de bijbehorende kans dat het niet om de bedoelde organisatie gaat;

d. De certificaatuitgever en diens betrouwbaarheid;

e. Alle voor de identificatie van de verantwoordelijke voor (eigenaar van) de website beschikbare informatie uit het certificaat;

f. Een indicatie van de betrouwbaarheid waarmee punt e. is vastgesteld;

g. De reden voor het tonen van deze melding, in elk geval: website niet eerder bezocht met deze browser (of de browser-geschiedenis is gewist), of de website heeft een nieuw certificaat;

h. Evt. aangevuld met informatie uit andere bronnen, zoals de datum waarop de betreffende domeinnaam voor het laatst van eigenaar is gewisseld, de vermoedelijke geo-locatie van de server op basis van het IP-adres, óf dat IP-adres geassocieerd wordt met kwaadaardige activiteiten, of er sprake is van een CDN, of de domeinnaam geassocieerd wordt met kwaadaardige activiteiten en/of gratis/low budget hosting (zoals *.pages.dev, *.workers.dev, *.netlify.app, *.amplifyapp.com, *.filesusr.com etc.), en of er sprake is van een verdachte TLD/sub-TLD (zoals *.top, *.zip, *.xyz, *.me, *.co, *.id, *.co.nl, *.com.co, etc).

Meer info en achtergronden leest u in https://infosec.exchange/@ErikvanStraten/113079966331873386.

Alternatief 1: slimme wachtwoordmanager
Gebruik een wachtwoordmanager: zie https://security.nl/posting/840236/Veilig_inloggen. Indien die wachtwoordmanager "slim" is, in de zin van dat deze domeinnamen checkt (zie de plaatjes onderin https://infosec.exchange/@ErikvanStraten/113204242529188240, die ik in https://security.nl/posting/859708 noemde) én gebruikers van zo'n wachtwoordmanager weten wat het betekent als er géén match is, en dat zij zelf op https moeten letten: zolang browsers en certificaten u laten barsten, kan dit m.i. enorm helpen om niet in phishing te trappen én om sterke (per account unieke, lange, random door de ww-manager gegenereerde) wachtwoorden te gebruiken.

Nb. Deze oplossing helpt niet bij onterecht uitgegeven https servercertificaten.

Alternatief 2: sterke user-authenticatie
• Client certificaten;
• FIDO2 hardware keys (in WebAuthn modus);
• Passkeys.

Nb. Ook de laatste twee oplossingen helpen niet bij onterecht uitgegeven https servercertificaten, en alle drie de oplossingen kennen een één of meer flinke nadelen.

Alternatief 3: struisvogelpolitiek
Zoals heel veel struisvogels blijven aanraden (waarschijnlijk ook in anonieme reacties op deze pagina, zoals eerder in https://security.nl/posting/859561): u kunt uw medewerkers natuurlijk ook (niet phishing-bestendige) zwakke 2FA/MFA laten blijven gebruiken, omdat dit de symtomen van zwakke wachtwoorden bestrijdt.

En door uw medewerkers (grotendeels zinloze) cursussen te laten volgen, kan een deel van hen dan wellicht "phishing herkennen", zoals door op typfouten te letten (zie ook https://security.googleblog.com/2024/05/on-fire-drills-and-phishing-tests.html).

Met het reeds aanzienlijke en toenemende risico dat uw organisatie gehacked wordt - en dat één van uw medewerkers zich diep ongelukkig voelt omdat het "diens schuld" is als de gegevens van mogelijk 64.999 collega's op straat belanden (naast die van henzelf).

Aan de gehackte Politiemedewerker
Mocht degene, die dit is overkomen, dit lezen: dit is niet uw schuld, maar (als het om phishing ging) van alle internetgebruikers die niet klagen dat big tech (puur uit winstoogmerk) verhindert dat u, op internet, nep van echt kunt onderscheiden, maar sowieso omdat uw werkgever gemak (geldbesparing) belangrijker vond dan informatiebeveiliging.
Reacties (30)
29-09-2024, 11:27 door Anoniem
Door Erik van Straten:
Mocht degene, die dit is overkomen, dit lezen: dit is niet uw schuld, maar (als het om phishing ging) van alle internetgebruikers die niet klagen dat big tech (puur uit winstoogmerk) verhindert dat u, op internet, nep van echt kunt onderscheiden, maar sowieso omdat uw werkgever gemak (geldbesparing) belangrijker vond dan informatiebeveiliging.
Beetje jammer dat ene hele uiteenzetting over veiligheid wordt afgesloten met zo'n domme "het gaat allemaal om geld" opmerking!
29-09-2024, 15:10 door Anoniem
Door Anoniem:
Door Erik van Straten:
Mocht degene, die dit is overkomen, dit lezen: dit is niet uw schuld, maar (als het om phishing ging) van alle internetgebruikers die niet klagen dat big tech (puur uit winstoogmerk) verhindert dat u, op internet, nep van echt kunt onderscheiden, maar sowieso omdat uw werkgever gemak (geldbesparing) belangrijker vond dan informatiebeveiliging.
Beetje jammer dat ene hele uiteenzetting over veiligheid wordt afgesloten met zo'n domme "het gaat allemaal om geld" opmerking!

Het is helemaal geen domme opmerking. Het is een terechte conclusie die relevant is omdat de teneur nog al eens is waar geld geïnvesteerd of gespendeerd moet worden, IT security het sluitstuk is van de begroting, dan wel als het bedrijfsvergaderingen betreft zuchtend naar de koffiepauze haastig wordt 'afgehamerd'.

... en dat begint al met zo simpele zaken als basale security afspraken die zelfs geen cent kosten maar slechts wat aandacht, zoals vergrendelen van je werkplek/computer. Regelmatig was ik de zeur, de 'Pietje precies' tot en met "jij met je gezeik, ik ben maar effe pissen" als ik er weer over begon.

Als het de overheid betreft zou IT security een onderdeel van de defensie-begroting moeten worden.

.... Ja lach maar... ik zie dat als een reactie van dezelfde orde als van degene die mij ooit uitmaakte voor een zeikerd die altijd begon over vergrendelen van computers.
29-09-2024, 16:24 door Anoniem
Door Anoniem:

Als het de overheid betreft zou IT security een onderdeel van de defensie-begroting moeten worden.

Oh, de begroting die tot op het bot uitgekleed is als 'vredesdivident' , en al die linkse leipen die Trump haten omdat Trump zegt dat de EU landen zich maar eens aan het NATO verdrag moeten geen houden qua defensie begroting - maar daar decennia al dik onder zitten ?

Je hebt blijkbaar de plezierige illusie dat 'defensie begroting' synoniem is voor "hoog en onaantastbaar" , maar dat is dus niet de werkelijkheid.

Of bedoel je werkelijk te zeggen dat security vooral moet bestaan uit het roepen van "update update" , maar werkelijk updates uitvoeren niet doen omdat dat te duur is ?
Dat is (/was ,hopelijk ) tenslotte de defensie situatie - 'pang pang' roepen op oefening want echte kogels kosten geld.
29-09-2024, 19:11 door Anoniem
Door Anoniem:
Het is helemaal geen domme opmerking. Het is een terechte conclusie die relevant is omdat de teneur nog al eens is waar geld geïnvesteerd of gespendeerd moet worden, IT security het sluitstuk is van de begroting, dan wel als het bedrijfsvergaderingen betreft zuchtend naar de koffiepauze haastig wordt 'afgehamerd'.

Wat er tot nu toe over naar buiten gekomen is wijst in de richting van het feit dat het outlook adresboek (waarmee je makkelijk even kunt mailen naar een collega) naar buiten gekomen is door het phishen van account toegang bij 1 van de 65000 medewerkers van de politie. Dat heeft met geld niks te maken.
Het zou ook kunnen dat deze toegang "gekocht" is met geld. Dan heeft het met beveiliging niks te maken.
Je hoort wel vaker over corrupte politie medewerkers, of medewerkers die zelf een achterban hebben die ze helpen.
Dat wordt niet opgelost in een bedrijfsvergadering, sterker nog: wat er in vergaderingen aan de top besloten wordt (onder maatschappelijke druk) dat heeft dit probleem alleen maar erger gemaakt. Zonder dat er daarbij geld in het spel was.
30-09-2024, 10:39 door Erik van Straten - Bijgewerkt: 30-09-2024, 10:48
Door Anoniem: Wat er tot nu toe over naar buiten gekomen is wijst in de richting van het feit dat het outlook adresboek (waarmee je makkelijk even kunt mailen naar een collega) naar buiten gekomen is door het phishen van account toegang bij 1 van de 65000 medewerkers van de politie. Dat heeft met geld niks te maken.
De volgende beveiligingsmaatregelen lijken niet te zijn genomen (als mijn aanname klopt, is er geld bespaard):

1) Blokkade van het account zodra een vooringesteld aantal records uit het "globale" adresboek wordt geraadplaagd (speciale autorisatie nodig voor een "mail all");

2) Segmentatie van (afgeleide) adreslijsten; toegang tot de hele lijst alleen voor geautoriseerden met bijv. 4-ogen principe;

3) Dataminimalisatie: scheiden van lijsten zoals met telefoonnummers en e-mailadressen.

Je hebt mogelijk gelijk als je roept "maar dat doet geen enkele organisatie". Wellicht dat dit soort maatregelen daarom extra prijzig zijn. Niet alleen qua investering, maar ook betekenen zij minder gemak voor medewerkers - wat uiteindelijk ook een prijs heeft. Vooral als iedereen zelf (rap verouderende) schaduwlijsten gaat "bijhouden".

Hoe handiger iets is voor medewerkers, hoe interessanter het meestal is voor criminelen.

Dit alles natuurlijk nog los van de vraag waarom, in de eerste plaats, niet is voorkómen dat er een account gecompromitteerd raakte. Er is geld bespaard op niet genomen maatregelen die deze hack wellicht hadden kunnen (helpen) voorkómen.

Óf er sprake was van een cloud-account weet ik niet, maar zoals ik al vaker opmerkte: als je denkt dat je geld bespaart door over te stappen op een (hybride [1], bron: [2]) cloudomgeving, denk er dan ook even aan dat elke medewerker een SPOF wordt. En dus wat de prijs kan zijn als een steeds groter deel van de informatie van jouw organisatie zich buiten jouw fort met slotgracht en ophaalbrug bevindt - of dat je, "veilig" in jouw fort opgeslagen informatie, via tal van extra ophaalbruggetjes (externe accounts) benaderbaar maakt.

[1] https://www.microsoft.com/en-us/security/blog/2024/09/26/storm-0501-ransomware-attacks-expanding-to-hybrid-cloud-environments/

[2] https://www.theregister.com/2024/09/27/microsoft_storm_0501/
30-09-2024, 11:00 door Anoniem
De wered verandert, Erik. Dat houd je niet tegen met je preken.
De mogelijkheid om met je computer buiten het "netwerk van de zaak" te werken is tegenwoordig overal nodig.
En kennelijk vind je dat de politie geen standaard toepassing daar voor mag gebruiken, maar alles zelf moet ontwikkelen
met de mogelijkheden die op dat moment even bij je opkomen (puntjes 1/2/3) en die wellicht niet in outlook zitten.

Maar als de politie dat zou doen staan de mensen hier weer te schelden (en lachen) dat het allemaal te lang duurt,
het project mislukt, enz enz.
Dus wat moet het nou worden???
30-09-2024, 11:23 door Erik van Straten
Door Anoniem: De wered verandert, Erik.
Het OK vinden dat gegevens van iedereen op straat liggen, en dat Security Professionals het woord "Vertrouwelijkheid" schrappen in hun woordenboek en er niet langer aandacht aan schenken, IS een optie.

Door Anoniem: Dus wat moet het nou worden???
Zeg jij het maar, meneer of mevrouw Anoniem.
30-09-2024, 12:15 door Anoniem
Door Anoniem:
Door Anoniem:
Het is helemaal geen domme opmerking. Het is een terechte conclusie die relevant is omdat de teneur nog al eens is waar geld geïnvesteerd of gespendeerd moet worden, IT security het sluitstuk is van de begroting, dan wel als het bedrijfsvergaderingen betreft zuchtend naar de koffiepauze haastig wordt 'afgehamerd'.
Wat er tot nu toe over naar buiten gekomen is wijst in de richting van het feit dat het outlook adresboek (waarmee je makkelijk even kunt mailen naar een collega) naar buiten gekomen is door het phishen van account toegang bij 1 van de 65000 medewerkers van de politie.
'makkelijk even mailen naar een (van je 65000) collega(s)'.
Herlees jezelf nog eens. Makkelijk. Daarin schuilt de shit, want alles wat makkelijk is (niet slechts op IT gebied) kost weinig, of misschien geen geld. Makkelijk. genereert kostenbesparing. Als die 65000 credentials niet lekker makkelijk bij elkaar in een feitelijk emailprogramma zouden staan acht jij de kans dan hoog dat hetzelfde was gebeurd?
Dat heeft met geld niks te maken.
Zie hierboven.
Het zou ook kunnen dat deze toegang "gekocht" is met geld. Dan heeft het met beveiliging niks te maken.
Oh neen? Bestaat voor jouw de wereld alleen uit een digitale versie?
30-09-2024, 12:44 door _R0N_
Door Anoniem:
Door Erik van Straten:
Mocht degene, die dit is overkomen, dit lezen: dit is niet uw schuld, maar (als het om phishing ging) van alle internetgebruikers die niet klagen dat big tech (puur uit winstoogmerk) verhindert dat u, op internet, nep van echt kunt onderscheiden, maar sowieso omdat uw werkgever gemak (geldbesparing) belangrijker vond dan informatiebeveiliging.
Beetje jammer dat ene hele uiteenzetting over veiligheid wordt afgesloten met zo'n domme "het gaat allemaal om geld" opmerking!

Precies, het gaat niet altijd om geld maar net zo vaak om luie beheerders.
Ransomware kan enkel encrypten waar de gebruiker bij kan, het gebruikte OS doet er totaal niet toe maar de rechten die mensen hebben wel.
Als je met 100 man toegang moet hebben tot bepaalde data om mutaties door te kunnen voeren loop je al risico, encryptie van data is ook gewoon een mutatie van de data. De gezamenlijke fileshare is een risico, of je nou Windows, Linux of een Mac hebt maakt dan totaal niet uit.
01-10-2024, 12:22 door Anoniem
Door Anoniem:
Door Anoniem:
Door Erik van Straten:
Mocht degene, die dit is overkomen, dit lezen: dit is niet uw schuld, maar (als het om phishing ging) van alle internetgebruikers die niet klagen dat big tech (puur uit winstoogmerk) verhindert dat u, op internet, nep van echt kunt onderscheiden, maar sowieso omdat uw werkgever gemak (geldbesparing) belangrijker vond dan informatiebeveiliging.
Beetje jammer dat ene hele uiteenzetting over veiligheid wordt afgesloten met zo'n domme "het gaat allemaal om geld" opmerking!

Het is helemaal geen domme opmerking. Het is een terechte conclusie die relevant is omdat de teneur nog al eens is waar geld geïnvesteerd of gespendeerd moet worden, IT security het sluitstuk is van de begroting, dan wel als het bedrijfsvergaderingen betreft zuchtend naar de koffiepauze haastig wordt 'afgehamerd'.

... en dat begint al met zo simpele zaken als basale security afspraken die zelfs geen cent kosten maar slechts wat aandacht, zoals vergrendelen van je werkplek/computer. Regelmatig was ik de zeur, de 'Pietje precies' tot en met "jij met je gezeik, ik ben maar effe pissen" als ik er weer over begon.

Als het de overheid betreft zou IT security een onderdeel van de defensie-begroting moeten worden.

.... Ja lach maar... ik zie dat als een reactie van dezelfde orde als van degene die mij ooit uitmaakte voor een zeikerd die altijd begon over vergrendelen van computers.
Zeer herkenbaar en je schiet er niks mee op als je achteraf gelijk hebt en je gelijk krijg je toch niet bij dit soort types. Zelfs bij het oplopen van ransomware krijgt de medewerker de schuld die op het verkeerde linkje heeft geklikt en als de verzekering ook nog eens de schade gaat vergoeden zal er weinig veranderen.
Ik heb inmiddels maar 1 hoop en dat is dat ransomware keihard toeslaat op het populaire platform zonder dat het levens gaat kosten natuurlijk.
01-10-2024, 12:45 door Anoniem
Door _R0N_:
Door Anoniem:
Door Erik van Straten:
Mocht degene, die dit is overkomen, dit lezen: dit is niet uw schuld, maar (als het om phishing ging) van alle internetgebruikers die niet klagen dat big tech (puur uit winstoogmerk) verhindert dat u, op internet, nep van echt kunt onderscheiden, maar sowieso omdat uw werkgever gemak (geldbesparing) belangrijker vond dan informatiebeveiliging.
Beetje jammer dat ene hele uiteenzetting over veiligheid wordt afgesloten met zo'n domme "het gaat allemaal om geld" opmerking!

Precies, het gaat niet altijd om geld maar net zo vaak om luie beheerders.
Ransomware kan enkel encrypten waar de gebruiker bij kan, het gebruikte OS doet er totaal niet toe maar de rechten die mensen hebben wel.
Als je met 100 man toegang moet hebben tot bepaalde data om mutaties door te kunnen voeren loop je al risico, encryptie van data is ook gewoon een mutatie van de data. De gezamenlijke fileshare is een risico, of je nou Windows, Linux of een Mac hebt maakt dan totaal niet uit.
Komt hij weer aan met zijn Linux en Mac en het artikel gaat ook niet over ransomware want dat is allemaal windows based omdat gebruikers en services vaak admin rechten hebben wat onder andere OS'en niet het geval is. Wat dat betreft zou de politie beter kunnen overstappen maar dan nog heb je het exchange adresboek probleem, overstappen op een ander mail systeem lost dit niet op. We kunnen beter stoppen met mailen en een bak met folders (sharepoint) is helemaal uit den boze.
01-10-2024, 16:21 door _R0N_
Door Anoniem: Komt hij weer aan met zijn Linux en Mac en het artikel gaat ook niet over ransomware want dat is allemaal windows based omdat gebruikers en services vaak admin rechten hebben wat onder andere OS'en niet het geval is. Wat dat betreft zou de politie beter kunnen overstappen maar dan nog heb je het exchange adresboek probleem, overstappen op een ander mail systeem lost dit niet op. We kunnen beter stoppen met mailen en een bak met folders (sharepoint) is helemaal uit den boze.


Dit bewijst alleen maar meer wat ik bedoelde. je hebt geen idee dus, zeg dat dan gewoon.
01-10-2024, 18:25 door Anoniem
Door _R0N_:
Door Anoniem: Komt hij weer aan met zijn Linux en Mac en het artikel gaat ook niet over ransomware want dat is allemaal windows based omdat gebruikers en services vaak admin rechten hebben wat onder andere OS'en niet het geval is. Wat dat betreft zou de politie beter kunnen overstappen maar dan nog heb je het exchange adresboek probleem, overstappen op een ander mail systeem lost dit niet op. We kunnen beter stoppen met mailen en een bak met folders (sharepoint) is helemaal uit den boze.


Dit bewijst alleen maar meer wat ik bedoelde. je hebt geen idee dus, zeg dat dan gewoon.
Houdt eens op met steeds het OS er bij te halen (de rest is niet net zo slecht) Hij heeft gelijk. Het gaat helemaal niet over een fileshare of Linux of een Mac of windows ransomware maar over een politie hack waar Microsoft exhange bij is betrokken. Wij mailen trouwens niet meer maar gebruiken chats en intranet applicaties. Adresboeken zijn dan niet uit te lezen omdat ze niet bestaan (alleen bij HR) en een chat account is niet gekoppeld aan een telefoon nummer.
02-10-2024, 09:54 door Anoniem
Mijn buurnan destijds, een politieagent, ging met mij mijn eerste computertje kopen.
Via hem zette ik de eerste coderingsstapjes op een Atari.

Nu 30 jaar verder verbaas ik me dagelijks over de analoge en digitale onveiligheid.

Waar blijft onze digitale Barend Bluf?

De reactie nu vaak. "Voor dat geld, ga ik niet later mijn vrindjes laten oppakken".
Hier is Nederland "ziek" (en zwaar crimineel).

En of het nog te 'genezen' valt via Ordo ab Chao, is nog maar de vraag.
02-10-2024, 10:06 door Anoniem
Ik heb eens even gekeken hoe 'eenvoudig' het is om een complete GAL via Outlook te exporteren. Wel, dat is nog niet zo eenvoudig kan ik zeggen. Je kunt niet zomaar een kopie maken en deze even rond e-mailen, dat heeft best wel wat werk nodig. Eén van de methodes is om alle mail adressen uit de GAL aan je eigen contacten lijst toe te voegen. Alleen dat is een extreem traag proces en 65K contacten op deze wijze doen? Lijkt mij vrij onmogelijk om dat op korte termijn te doen, tijd die een aanvaller niet heeft.
Andere mogelijkheid om dit, als non-admin, via Access te doen door in een tabel via externe verbindingen een Outlook map te importen en dan de GAL, of een offline kopie ervan te importeren. Hangt ook van de rechten af of je dat lukt. Een standaard non-admin gebruiker lukt dat niet dus mijns inziens is het gehackte account van iemand geweest met hoge rechten dus geloof ik niet helemaal dat er niet meer is buitgemaakt dan alleen namen en mail adressen.
Als een aanvaller het voor elkaar krijgt om een slachtoffer via zijn eigen M365 tennant te laten inloggen, waarbij het slachtoffer denkt dat deze in de eigen werkomgeving inlogt, heeft de aanvaller ook dezelfde toegang binnen M365 waar het slachtoffer ook toegang toe heeft. Waarom zou een aanvaller zich dan druk maken om alleen een GAL te exporteren?
Ik zou alles pakken wat ook maar interesant is voordat Defender door heeft dat er iets gaande is, voor zover ze dat al ingericht hebben. Ik vrees dat er veel meer aan de hand is dan ze nu willen toegeven.

My 2 cents
02-10-2024, 16:12 door Anoniem
Door Anoniem: Ik heb eens even gekeken hoe 'eenvoudig' het is om een complete GAL via Outlook te exporteren. Wel, dat is nog niet zo eenvoudig kan ik zeggen. Je kunt niet zomaar een kopie maken en deze even rond e-mailen, dat heeft best wel wat werk nodig. Eén van de methodes is om alle mail adressen uit de GAL aan je eigen contacten lijst toe te voegen. Alleen dat is een extreem traag proces en 65K contacten op deze wijze doen? Lijkt mij vrij onmogelijk om dat op korte termijn te doen, tijd die een aanvaller niet heeft.
Je gaat er vanuit dat dit door de aanvaller gedaan is.
Er ging echter ook al het verhaal rond dat het "om een office document ging" dus een ander scenario is dat een geduldige agent het hele adresboek omgezet heeft naar een Word of Excel file (veel handiger toch?) en dat DIE op de een of andere manier gelekt is.
02-10-2024, 21:20 door Anoniem
Vanavond op het nieuws dat er een staatsactor achter zit.
02-10-2024, 21:49 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb eens even gekeken hoe 'eenvoudig' het is om een complete GAL via Outlook te exporteren. Wel, dat is nog niet zo eenvoudig kan ik zeggen. Je kunt niet zomaar een kopie maken en deze even rond e-mailen, dat heeft best wel wat werk nodig. Eén van de methodes is om alle mail adressen uit de GAL aan je eigen contacten lijst toe te voegen. Alleen dat is een extreem traag proces en 65K contacten op deze wijze doen? Lijkt mij vrij onmogelijk om dat op korte termijn te doen, tijd die een aanvaller niet heeft.
Je gaat er vanuit dat dit door de aanvaller gedaan is.
Er ging echter ook al het verhaal rond dat het "om een office document ging" dus een ander scenario is dat een geduldige agent het hele adresboek omgezet heeft naar een Word of Excel file (veel handiger toch?) en dat DIE op de een of andere manier gelekt is.
Namen van oficieren van justitie en advocaten blijken ook gelekt. Ik bewijfel ten zeerste dat we te maken hebben met een office document waar al die informatie in stond. Wat nog veel waarschijnlijker scenario zou zijn is dat het een marcro enabled document was voor initiele besmetting. Maar ik vrees erger ik denk dat we hier te maken hebben met een algehele infiltratie die langere tijd onopgemerkt kon blijven.Het zou me niks verbazen als we over paar weken geluiden horen dat het niet enkel de politie betrof.

En het zou me ook totaal niet verbazen als de statelijk actor eentje van onze zogenaamde bondgenoten is en dat we hier bij toeval achter zijn gekomen. De vraag dan weer is welk land gaan ze de schuld geven en hoe lossen ze de diplomatieke rel op zonder dat publiek het hoort. Uiteraard kan het ook echt een vijandige statelijke actor zijn maar bij dit soort infiltraties vermoed ik eerder dichter bij huis dan ver van bed scenario. Maakt het er niet minder ernstig op.
02-10-2024, 22:05 door Anoniem
Nu zingt er rond op het Internet,
dat deze hack door een statelijke agent zou zijn gepleegd.

Ook weer speculatief of met een grond van waarheid?
02-10-2024, 23:29 door Anoniem
Door Anoniem: Nu zingt er rond op het Internet,
dat deze hack door een statelijke agent zou zijn gepleegd.

Ook weer speculatief of met een grond van waarheid?

Een waarschuwing aan degene die weet hebben van een operatie waar politie bij betrokken was, waarschijnlijk eentje via AVID-MIVD of een bevriende (en/of chanterende) buitenlandse dienst. Er zijn wel rare dingen aan de hand rond (ex) medewerkers politie en dekmantelorganistaties.
03-10-2024, 08:59 door Anoniem
Door Anoniem: Nu zingt er rond op het Internet,
dat deze hack door een statelijke agent zou zijn gepleegd.

Ook weer speculatief of met een grond van waarheid?
Zeer plausible te noemen meeste APTS met dit soort capaciteiten zijn staats gesteund
Kan nog steeds crimineel van aard zijn maar we weten dat enkele APT ook gedoogd worden door sommige staten al zijn het geen officiele groepen van hun. Makkelijker plausible deniability.

Maar ik blijf erbij ik denk dat een bondgenoot screwup meest voor de hand liggende scenario is. Zoiets als wat duitsland is overkomen qua spionage met Merkel.
Kan je op een briefje geven dat AIVD en MIVD anders signalen hadden gehad van een aanstaande dreiging. We zijn qua eigen capaciteit niet van hele grote waarde in het global intelligence field maar wel als proxy en toegang voor andere diensten.
03-10-2024, 10:37 door Anoniem
Eindelijk de formele brief gevonden naar de Tweede Kamer. Veel wijzer wordt je er niet van.

https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2024D36389&did=2024D36389
03-10-2024, 11:52 door Anoniem
Door Anoniem: Eindelijk de formele brief gevonden naar de Tweede Kamer. Veel wijzer wordt je er niet van.

https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2024D36389&did=2024D36389
Wellicht dat dat juist de bedoeling is?
03-10-2024, 12:38 door Anoniem
Als men moet toegeven dat de politie steeds machtelozer wordt naar criminaliteit en cybercriminaliteit toe,
zowel analoog als digitaal, dan heeft men pas echt een probleem.

Anders wijzen alle vingers toch weer richting Kwatta,
en dat is de Russische Federatie binnen het huidig tijdsgewricht.

Dat hoort men de gehele dag, dus is dan niet zo verontrustend.
03-10-2024, 14:03 door Anoniem
Zeer plausible te noemen meeste APTS met dit soort capaciteiten zit.

Staatshacker my ass, een kind van 10 kan nog de GAL exporteren.
Microsoft Access heeft de ingebouwde mogelijkheid om de Exchange GAL te exporteren.
De Exchange GAL is voor iedere medewerker volledig toegankelijk en iedere Exchange Server heeft daarbij een specifieke service die 'Offline Address Book' (OAB) heet. Dit offline adresboek bevat een offline kopie van je gehele organisatie en iedereen met een laptop sleept dat ding de hele dagen heen en weer.

Maar op Microsoft Github staan meerdere open source toolkits waarmee, via Microsoft Graph, deze aanval volledig geautomatiseerd mogelijk is.

Erik heeft gelijk dat de gebruiker hier niets aan kon doen... Dit komt omdat Microsoft zijn ouderwetse producten niet veiliger maakt omdat ze bang zijn dat Enterprise klanten gaan zeuren. Microsoft heeft gewoon heel slecht beveiligde legacy producten. Dit is een algehele trend bij Microsoft, geen modern besturingssysteem geeft jan en alleman zomaar kernel toegang. Mensen zouden eens moeten nadenken waarom het telkens dezelfde namen zijn in het nieuws...

Ik zit gelukkig meestal bij organisaties waar we deze ellende niet meer in leven hoeven te houden.
Meer dan 30 jaar gedaan en geen spijt dat ik die rommel niet meer hoef up2daten..
Wat een ellende was dat al. Herinnerd iedereen deze nog?
https://www.security.nl/posting/769661/Microsoft+waarschuwt+voor+actief+aangevallen+zerodaylekken+in+Exchange+Server
03-10-2024, 15:47 door Anoniem
Door Anoniem: Ik heb eens even gekeken hoe 'eenvoudig' het is om een complete GAL via Outlook te exporteren.
Als ik het goed begrijp wordt in de default-configuratie van Outlook een lokale cache aangemaakt van het hele adresboek. Als ze verzuimd hebben dat uit te zetten staat het adresboek op elke client, in een formaat (.oab) dat keurig door Microsoft beschreven wordt in publiek beschikbare documenten:
https://learn.microsoft.com/en-us/openspecs/exchange_server_protocols/ms-oxoab/b4750386-66ec-4e69-abb6-208dd131c7de

Als ze dit niet hebben uitgezet hoeft het niet geëxporteerd te worden, dat heeft Outlook zelf al gedaan.

Wat een ellende was dat al. Herinnerd iedereen deze nog?
https://www.security.nl/posting/769661/Microsoft+waarschuwt+voor+actief+aangevallen+zerodaylekken+in+Exchange+Server
Ik weet dat het hopeloos is, maar toch: waarom zette je daar niet even een url-tag omheen, zodat het een hyperlink wordt, die anderen niet alleen makkelijker kunnen volgen, maar die ook alle extra mogelijkheden die een browser en add-ons voor url's geven beschikbaar maken: openen in een ander venster, een privévenster, een containertabblad, met een heel andere browser, noem maar op. Als iedereen het doet heb je veel vaker het gemak van dat een ander het voor jou doet dan jij het voor anderen doet. Per saldo is dat winst voor iedereen.

Het meeste werk en ongemak wordt niet uitgespaard door zelf zo min mogelijk te doen, dat bereik je als iedereen doet wat in totaal het meeste werk uitspaart.
03-10-2024, 17:11 door Erik van Straten
Ik hoor zojuist op het 17:00 NOS journaal (in eenvoudige taal) dat er inderdaad sprake was van een nepwebsite - waar een Politiemedewerker gevoelige gegevens zou hebben ingevuld (ik vermoed diens e-mailadres als user-ID, wachtwoord en een 2FA code).
05-10-2024, 23:03 door Anoniem
Door Anoniem: Als men moet toegeven dat de politie steeds machtelozer wordt naar criminaliteit en cybercriminaliteit toe,
zowel analoog als digitaal, dan heeft men pas echt een probleem.
Ik ga hier verder op in onder topic "Politie: inlichtingendiensten verdenken statelijke actor van datalek" d.d. 2 oktober 2024, in mijn post van 05-10-2024, 21:58.
06-10-2024, 13:40 door Erik van Straten
Door Anoniem: Ik ga hier verder op in onder topic "Politie: inlichtingendiensten verdenken statelijke actor van datalek" d.d. 2 oktober 2024, in mijn post van 05-10-2024, 21:58.
Tip: tik rechtsboven een posting op de (i):
https://www.security.nl/abuse/860910.

Vervang daarin "abuse" door "posting" (en als je zo kort mogelijk wilt: verwijder "www."). En zet er "[@url][@/url]" omheen (zonder de '@' die ik erin zette - omdat security.nl ze anders niet wil tonen).

Dan krijg je: https://security.nl/posting/860910.
06-10-2024, 14:05 door Anoniem
Door Erik van Straten:
Door Anoniem: Ik ga hier verder op in onder topic "Politie: inlichtingendiensten verdenken statelijke actor van datalek" d.d. 2 oktober 2024, in mijn post van 05-10-2024, 21:58.
Tip: tik rechtsboven een posting op de (i):
https://www.security.nl/abuse/860910.

Vervang daarin "abuse" door "posting" (en als je zo kort mogelijk wilt: verwijder "www."). En zet er "[@url][@/url]" omheen (zonder de '@' die ik erin zette - omdat security.nl ze anders niet wil tonen).

Dan krijg je: https://security.nl/posting/860910.
Bedankt Erik, ga ik doen!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.