Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsbedrijf FireEye sluit toegang tot intern netwerk door hacker uit

Door , 9 reacties

Beveiligingsbedrijf FireEye heeft de voorlopige resultaten gepubliceerd van een onderzoek dat het was begonnen nadat onbekenden claimden toegang tot zijn interne netwerk te hebben gehad. Er was wel toegang tot de e-mail en socialemedia-accounts van een medewerker.

Het bedrijf meldt dat de aanvaller toegang tot de diensten had verkregen doordat de inloggegevens waren uitgelekt in verschillende grote hacks, waaronder die van LinkedIn. Daardoor kon de aanvaller een aantal bedrijfsdocumenten verkrijgen. Er zou geen toegang zijn geweest tot het interne netwerk van het beveiligingsbedrijf; het schrijft dat er alleen mislukte inlogpogingen hebben plaatsgevonden. Hoewel het onderzoek nog niet volledig is afgerond, verwacht FireEye niet dat er nog andere verrassende bevindingen uit zullen voortkomen.

Eind juli verscheen een bericht op Pastebin waarin werd geclaimd dat aanvallers toegang hadden tot de interne netwerken van het Amerikaanse beveiligingsbedrijf. Als 'bewijs' waren enkele documenten gepubliceerd en zou naderhand meer informatie volgen. De actie droeg de naam LeaktheAnalist en richtte zich volgens het Pastebin-bericht op medewerkers in de beveiligingsindustrie. Bij de getroffen medewerker gaat het om iemand bij Mandiant, een onderneming die in 2013 door FireEye werd overgenomen.

Door Sander van Voorst

Nieuwsredacteur

07-08-2017 • 11:02

9 Linkedin Google+

Reacties (9)

Wijzig sortering
Er was wel toegang tot de e-mail en socialemedia-accounts van een medewerker.
Men mag van geluk spreken dat er geen ingang is verkregen tot veel meer zaken dan alleen de e-mail en een social media account. Vaak slaan mensen zaken als wachtwoorden op in e-mails en met regelmaat is de toegang tot een e-mail account voldoende om ergens een wachtwoord reset uit te laten voeren.

Toegang tot het interne netwerk is in deze tijd van cloud diensten niet altijd meer het enige belangrijke om uit te sluiten. Na het doorscannen van de bron vind ik de conclusies die worden getrokken voorbarig.
Nog leuker, en een stuk minder bekend, Via Exchange kun je interne servers benaderen en shares uitlezen. Als op de shares wachtwoorden worden opgeslagen (inclusief in group policy) kun je zo zelfs nog andere accounts bemachtigen en verder escaleren.
https://labs.mwrinfosecur...rough-exchange-activesync
- Exchange op een Domain Controller installeren?
- Mailbox / Client Access roles niet scheiden?

Zou graag het onderzoek herhaald zien worden met een opstelling die normaal is binnen enterprises, in plaats van deze rare opstelling die je eigenlijk alleen ziet bij Small Business Server installaties.
- Exchange op een Domain Controller installeren?
- Mailbox / Client Access roles niet scheiden?

Zou graag het onderzoek herhaald zien worden met een opstelling die normaal is binnen enterprises, in plaats van deze rare opstelling die je eigenlijk alleen ziet bij Small Business Server installaties.
Dat is alleen de onderzoeksopstelling. In de praktijk hebben wij dit al vaker gebruikt bij scans en kun je ook andere servers in het netwerk benaderen als de exchange server gewoon geļnstalleerd is op een eigen host. De enige voorwaarde is dat je hostnames van servers weet, wat vaak wel weer uit andere dingen te halen valt.
Interessant, bedankt voor de aanvulling.
paswoorden opslagen in mails? Diegene die doorgestuurd worden door de dienst zijn meestal toch have-to-change paswoorden? En worden meestal niet naar de collega in kwestie gestuurd (want heeft geen toegang tot zijn mailbox) maar naar een collega van die collega. Dus dat zou best moeten meevallen. Medewerkers die hun paswoord opslagen (buiten paswoordmanagers), hetzij op een post-it hetzij in hun mailbox dienen gewoon een oorlel trekje te krijgen :p :D
Nou kan je garanderen dat er een hoop mensen gewoon een mailtje naar hunzelf hebben met inloggegevens voor bepaalde instanties, zeker als het gaat om gesharede account (bv een developer account).
Ik hoop dat een beveiligingsbedrijf gewoon MFA afdwingt, het liefst in combinatie met zo veel mogelijk SSO om dat soort rondzwervende wachtwoordjes te voorkomen.
Ik lees in bovenstaande het volgende:

Ondanks dat we een week eerder toegang ontkenden hebben we het toch wel onderzocht.

Dat onderzoek ging niet verder dat controleren van logfiles en herleiden van gepubliceerde content.

Ja, we zijn clueless dat we andere dingen niet uitsluiten en staan voorschut als we met onze publicaties precies hebben gedaan wat die figuren wilden....

Als zerodays gebruikt zijn of 2way surfing zal je er weinig tot niets van in je logs tegen komen. Alleen als je alle packets op je netwerk opslaat en er met een 3d tool zoals silentrunner er door heen gaat zul je afwijkende verkeer zien.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*