image

Microsoft waarschuwt voor grootschalige phishingaanval met RDP-bestanden

woensdag 30 oktober 2024, 12:23 door Redactie, 13 reacties

Aanvallers maken bij phishingaanvallen op grote schaal gebruik van Remote Desktop Protocol (RDP) configuratiebestanden om individuen en organisaties te compromitteren, zo waarschuwt Microsoft. Volgens het techbedrijf hebben meer dan duizend doelwitten in meer dan honderd organisaties de phishingmails ontvangen. De e-mails hebben als bijlage een .RDP-bestand.

Het Remote Desktop Protocol maakt het mogelijk om computers op afstand te besturen. De RDP-bestanden die bij de aanvalscampagne worden gebruikt zijn met een certificaat van Let's Encrypt gesigneerd. Zodra de ontvanger het RDP-bestand opent wordt er vanaf zijn computer een verbinding met de RDP-server van de aanvallers opgezet. Die kunnen vervolgens via RDP de computer van het doelwit overnemen.

Volgens Microsoft zijn de gebruikte RDP-bestanden voorzien van gevoelige instellingen, waardoor er allerlei informatie van het doelwit wordt gelekt. Zodra het doelsysteem is gecompromitteerd maakt het verbinding met de server van de aanvallers en worden lokale resources voor de RDP-server beschikbaar. Het gaat dan bijvoorbeeld om harde schijven, inhoud van het clipboard, printers, aangesloten apparaten, audio en authenticatiefeatures van Windows, waaronder smartcards.

"Met deze toegang zouden de aanvallers malware het de lokale schijf of netwerkshares van het doelwit kunnen installeren", aldus Microsoft. Op deze manier kan de aanvaller toegang behouden als de RDP-sessie wordt gesloten. Tevens stelt het techbedrijf dat bij het opzetten van de RDP-verbinding naar de server van de aanvallers ook de inloggegevens van het doelwit kunnen worden verstuurd.

Volgens Microsoft zijn overheden, academici, de defensiesector en NGO's het doelwit van de aanvallen. Het techbedrijf stelt dat die het werk zijn van een aan Rusland gelieerde groep genaamd Midnight Blizzard, die ook bekendstaat als APT29 en Cozy Bear. Onlangs waarschuwde ook Amazon dat het domeinen had geïdentificeerd die bij deze aanval zijn gebruikt.

Image

Reacties (13)
Gisteren, 12:58 door Anoniem
Dat is wel een sneaky manier om toegang te krijgen tot de computer van de gebruikers.
Gisteren, 13:07 door Metobard
Bij dit soort en vergelijkbare berichten kan ik me niet aan de horror onttrekken dat de eerste digitale wereldoorlog een feit is als ouverture naar het échte werk...
Gisteren, 14:27 door Anoniem
Door Metobard: Bij dit soort en vergelijkbare berichten kan ik me niet aan de horror onttrekken dat de eerste digitale wereldoorlog een feit is als ouverture naar het échte werk...
Dat was 30 jaar geleden al aan de gang met virussen die lanceer codes probeerde te bemachtigen.
Gisteren, 14:46 door Anoniem
Door Metobard: Bij dit soort en vergelijkbare berichten kan ik me niet aan de horror onttrekken dat de eerste digitale wereldoorlog een feit is als ouverture naar het échte werk...
Zie het maar als ondergang van het windows platform en begin met het uitzetten van het rdp protocol naar buiten en naar binnen.
Gisteren, 16:17 door Anoniem
Wederom een legacy Microsoft ding dat lekt... Niets nieuws onder de zon...
RDP komt uit het Windows XP tijdperk en Microsoft investeert hier vrij weinig in (anders dan AVD en Windows 365).
Om dit te illustreren, Microsoft remote gateway heeft niet eens MFA ondersteuning (enkel inlognaam/wachtwoord).
RDP heeft dan ook vrijwel geen beveiliging en is ontwikkeld met de 2000 mentaliteit van Microsoft destijds.


Ik ben benieuwd of ze dit nu ook een nekschot geven zoals ze dat met hun Print Nightmare, ik bedoel printsysteem hebben gedaan.
Gisteren, 16:21 door Erik van Straten
De RDP-bestanden die bij de aanvalscampagne worden gebruikt zijn met een certificaat van Let's Encrypt gesigneerd.

Geen leesfout van de redactie, uit https://www.microsoft.com/en-us/security/blog/2024/10/29/midnight-blizzard-conducts-large-scale-spear-phishing-campaign-using-rdp-files/:
The emails contained a Remote Desktop Protocol (RDP) configuration file signed with a LetsEncrypt certificate.

Uit https://letsencrypt.org/docs/faq/:
Email encryption and code signing require a different type of certificate that Let’s Encrypt does not issue.

Tenzij er in Windows weer eens een enorme blunder is begaan, hoort een digitale handtekening "onder" een bestand niet te kunnen worden geauthenticeerd met een https servercertificaat.
Gisteren, 17:06 door Anoniem
Misschien maakt de TLS laag gebruik van Let's Encrypt certificaten. Het rdp-bestand zelf kan ook gesigned worden: https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/rdpsign . Hmm signen met een sha1 of sha256. Blijkbaar kan je met de hash van een certificaat een rdp-bestand signen....
Gisteren, 19:10 door Anoniem
Door Anoniem: Wederom een legacy Microsoft ding dat lekt... Niets nieuws onder de zon...
RDP komt uit het Windows XP tijdperk en Microsoft investeert hier vrij weinig in (anders dan AVD en Windows 365).
Om dit te illustreren, Microsoft remote gateway heeft niet eens MFA ondersteuning (enkel inlognaam/wachtwoord).

Dat jij niet weet hoe het moet, wil niet zeggen dat het niet kan. Wij maken gewoon een uitstapje naar een NPS server. MFA verplicht.
Gisteren, 22:06 door Anoniem
Door Anoniem:
Door Anoniem: Wederom een legacy Microsoft ding dat lekt... Niets nieuws onder de zon...
RDP komt uit het Windows XP tijdperk en Microsoft investeert hier vrij weinig in (anders dan AVD en Windows 365).
Om dit te illustreren, Microsoft remote gateway heeft niet eens MFA ondersteuning (enkel inlognaam/wachtwoord).

Dat jij niet weet hoe het moet, wil niet zeggen dat het niet kan. Wij maken gewoon een uitstapje naar een NPS server. MFA verplicht.
Het is precies zoals hij zegt; Microsoft remote gateway support geen MFA. Het is oude bende en NPS zal ook wel snel EOL zijn want Microsoft stuurt je naar hun cloud. Dan kan hij nog beter FreeRADIUS nemen:
Kost niks, is multithreaded (NPS niet), gebruikt veel minder geheugen, updates gaan sneller, geen licenties vereist (daar weten ze bij MS wel raad mee maar de fanclub zit daar niet mee, die bulkt van de centen)
Vandaag, 00:32 door Anoniem
Door Anoniem: Microsoft remote gateway heeft niet eens MFA ondersteuning (enkel inlognaam/wachtwoord).
RDP heeft dan ook vrijwel geen
Geen MFA op RDP, powershell etc was voor ons (critical infra) ook een te groot risico geworden. Onze Microsoft CSA gaf ons vorig jaar de tip om Silverfort te testen omdat we hiermee onze bestaande MS Authenticator naar legacy apps konden brengen. We hebben het nu sinds juni in productie: MFA op CLI’s wie had dat ooit gedacht
Vandaag, 07:32 door Anoniem
Dit kreeg je in de jaren 90/00 ook al om je oren. Executables verkleed als jpg en dat soort fratsen. .htm en .scr bestanden. pdf is ook nog een tijdlang flink misbruikt geweest omdat de pdf readers doodleuk alle javascript uitvoerden. Idem voor .doc en .xls bestanden met dat enorm handige VBS dat de Office engine direct verwerkte bij openen...

Punt is dat je gewoon goed op moet blijven letten (al meer dan 2 decennia) van wie je iets ontvangt en of de inhoud logisch is of niet. Een virus- en malware scanner helpen je maar dekken ook niet altijd de lading.
Vandaag, 08:06 door Anoniem
Door Anoniem: Wederom een legacy Microsoft ding dat lekt... Niets nieuws onder de zon...
RDP komt uit het Windows XP tijdperk en Microsoft investeert hier vrij weinig in (anders dan AVD en Windows 365).
Om dit te illustreren, Microsoft remote gateway heeft niet eens MFA ondersteuning (enkel inlognaam/wachtwoord).
RDP heeft dan ook vrijwel geen beveiliging en is ontwikkeld met de 2000 mentaliteit van Microsoft destijds.


Ik ben benieuwd of ze dit nu ook een nekschot geven zoals ze dat met hun Print Nightmare, ik bedoel printsysteem hebben gedaan.

"Microsoft remote gateway heeft niet eens MFA ondersteuning" dat is de grootste kolder! als jij NPS gebruikt kun je zelf een MFA optie gebruiken die van bijvoorbeeld Azure via de officiele Microsoft NPS plugin.
Vandaag, 08:55 door Anoniem
Door Anoniem:
Door Metobard: Bij dit soort en vergelijkbare berichten kan ik me niet aan de horror onttrekken dat de eerste digitale wereldoorlog een feit is als ouverture naar het échte werk...
Zie het maar als ondergang van het windows platform en begin met het uitzetten van het rdp protocol naar buiten en naar binnen.

Wie heeft uberhaupt RDP openstaan zonder VPN?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.