'SolarWinds-hackers probeerden securitybedrijf CrowdStrike binnen te dringen'

Het Amerikaanse softwarebeveiligingsbedrijf CrowdStrike was ook doelwit van de groep achter de grote SolarWinds-hack. Volgens het bedrijf probeerden de hackers binnen te komen via een reseller van Microsoft-software, maar lukte dat niet.

De hackpoging vond al maanden geleden plaats, maar CrowdStrike werd pas op 15 december op de hoogte gebracht door Microsoft, schrijft het beveiligingsbedrijf op zijn blog. De hackers hadden toegang verkregen tot een Microsoft Azure-account van een reseller waarmee de Office-licenties van CrowdStrike werden beheerd. Microsoft merkte op dat er vanaf dat account vreemde calls naar api's werden gemaakt. De indringers probeerden e-mails te lezen, maar dat lukte niet. CrowdStrike gebruikt Office-applicaties, maar geen Office 365 e-mail, waardoor de hack mislukte.

Op zijn blog noemt CrowdStrike niet direct het verband met de groepering achter de de hack op beveiligingsbedrijf SolarWinds, maar twee bronnen die bekend zijn met het onderzoek van CrowdStrike zeggen tegenover Reuters dat dit het geval is. "Als CrowdStrike Office 365 gebruikt had voor e-mail, zou het game over zijn geweest", zegt een van de bronnen.

CrowdStrike is een Amerikaans cybersecuritybedrijf dat in 2011 is opgericht. Vorig jaar had het bedrijf een omzet van 178,1 miljoen dollar en 1683 werknemers in dienst. Tal van grote bedrijven nemen het Falcon-platform af van CrowdStrike, waaronder Sony, Sega, Rackspace en Hyatt Hotels. Het platform is gericht op het tegenhouden van cyberaanvallen.

Als de hackers toegang hadden kunnen krijgen tot de systemen van CrowdStrike, dan had mogelijk een vergelijkbare situatie kunnen ontstaan als bij de SolarWinds-hack. De Orion-software van dat bedrijf is door vermoedelijke staatshackers geïnfiltreerd en geïnfecteerd, waardoor duizenden klanten kwetsbaar zijn. De hackers wisten zo tal van voornamelijk Amerikaanse overheidsinstanties binnen te dringen.

CrowdStrike noemt de SolarWinds Orion-hack een van de meest geavanceerde en verstrekkende aanvallen uit de recente geschiedenis. Meer over de ware omvang en motivaties achter de aanval moet in de komende weken en maanden duidelijk worden voor de beveiligingsindustrie en autoriteiten, aldus het bedrijf. Tweakers publiceerde een achtergrondartikel over de SolarWinds-hack.

Reacties (44)

My Tec Master 25 december 2020 11:20

Je mag toch verwachten dat mensen in ieder geval voor hun Azure omgevingen 2factor authenticatie gebruiken. Blijkbaar is dat nog steeds niet de standaard bij veel bedrijven.. Voorkomt zoveel ellende, en maakt het al veel moeilijker om binnen te komen. Eigenlijk moet je dit afdwingen (pakket aan security eisen) bij partijen waar je applicaties van af neemt.

Verderf @My Tec Master • 25 december 2020 11:57

2FA is leuk tot ze je token jatten, dan komen ze er gewoon doorheen.

wiseger @Verderf • 25 december 2020 14:37

Het token is beveiligd met een PIN code. Het is 2FA dus moet men zowel het token stelen als de PIN code weten.

Verderf @wiseger • 25 december 2020 23:11

Ik bedoelde dan ook de token in je cookie en niet een hardware token

GekkePrutser @wiseger • 25 december 2020 19:01

Wacht, een 2FA token als een yubikey is alleen beveiligd met PIN als je het in passwordless mode gebruikt.

Als je het puur als 2FA gebruikt (fido-1 mode, niet fido2 CTAP) dan heeft het geen pin nodig, je moet het alleen aanraken.

Padje @wiseger • 26 december 2020 12:45

Het token is beveiligd met een PIN code. Het is 2FA dus moet men zowel het token stelen als de PIN code weten.

Snap je wel waar hier over wordt gesproken? Men heeft het over een TOKEN namelijk de primary refresh token?

https://cqureacademy.com/blog/hacks/pass-the-prt-attack

Rudie_V @Verderf • 25 december 2020 13:07

Misschien een oogscan gebruiken voor de tweede vorm van authenticatie, een oog jatten is echt lastig.

Of overgaan op multiform authentication, wachtwoord, token, vingerscan, oogscan, spraakcontrole, hartritme en dit alles van tenminste 2 of meer personen. Je kan het zo moeilijk maken als je wilt.

Verderf @Rudie_V • 25 december 2020 23:16

Ik bedoelde het iets anders, stel je voor dat een hacker middels een exploit controle heeft gekregen tot je machine en jij hebt in een chrome sessie open met je ingeloggde azure ad admin account bijv.

Het is dan kinderspel om je logged in token te jatten en daarmee in te loggen.
Dat kan omdat als je al een logged in token ID hebt je geen MFA meer hoeft te doen.

Voorbeeldje:

Evilginx, being the man-in-the-middle, captures not only usernames and passwords, but also captures authentication tokens sent as cookies. Captured authentication tokens allow the attacker to bypass any form of 2FA enabled on user's account

[Reactie gewijzigd door Verderf op 22 juli 2024 14:56]

Amiga3000 @Verderf • 28 december 2020 10:56

Laten we vooral niet vergeten de Extensions voor Chrome. Je hebt dan zelfs niet de expoit nodig mensen installeren deze zelf. Volgens mij zijn er zelfs recht zaken geweest van Facebook tegen deze extension leveranciers. Eenmaal ingelogd maakt niet uit hoe is alles te stelen.

Verderf @Amiga3000 • 28 december 2020 20:47

Helaas is een vriend van mij daar ook slachtoffer van geworden. Echt alles wat hij had aan wachtwoorden en whatnot in chrome was gejat.

boolean @Verderf • 26 december 2020 10:48

Gelukkig bestaan ze nog, échte Tweakers die iets van IT snappen. De laatste jaren wordt Tweakers overspoeld met nitwits (zie de comments hierboven) die verdwaald zijn op weg naar "NUjij", dus het lezen van jouw post doet mij goed! $_/-\o_$

[Reactie gewijzigd door boolean op 22 juli 2024 14:56]

Verderf @boolean • 26 december 2020 12:55

Gelukkig wel, het is onderdeel van mijn baan

Alleen het begrijpend uitleggen aan andere maakt het soms wat lastig.

[Reactie gewijzigd door Verderf op 22 juli 2024 14:56]

defixje @Verderf • 26 december 2020 13:08

Ik heb hier lang over nagedacht maar, zou dit theoretisch niet op te lossen zijn door de device fingerprint mee te nemen in de requests en het hashen van de token?

Zo kan een hacker jouw token wel jatten, maar zijn requests kloppen niet aangezien zijn device fingerprint niet klopt.

David Mulder @Verderf • 26 december 2020 14:01

Dat is dan ook de reden waarom je bank (en veel belangrijke software) je tweede factor vereist als je daadwerkelijk een actie wilt ondernemen en het resultaat van die tweede factor verificatie dus een consumable is (je verifieert enkel de specifieke actie). Het is alweer meer dan een jaar geleden dat ik met Azure werkte, dus kan me niet goed herinneren of dat daar ook zo werkte, maar bij DigitalOcean zijn er bijv. bepaalde acties die ik niet mag doen zonder m'n tweede factor te verifieren.

Airw0lf @Verderf • 26 december 2020 18:36

Klopt - maar zodra een hacker controle heeft over een systeem is het sowieso afgelopen - dan is het doorgaans een kwestie van tijd voor de rest er ook aan moet geloven => ik vergelijk het wel eens met een bekende uitspraak van "the Borg" in StarTrek: "You will be assimulated - resistence is futile!"

Voor de liefhebbers:
https://en.wikipedia.org/wiki/Borg

ErwinPeters @Rudie_V • 25 december 2020 14:06

Lastig? Zou je zeggen he...

[Reactie gewijzigd door ErwinPeters op 22 juli 2024 14:56]

Earlsweatshirt @Rudie_V • 26 december 2020 13:32

Een oog vervangen is daarintegen ook heel lastig, mocht er alsnog een breach zijn

Estel @My Tec Master • 25 december 2020 11:39

En vaak kun je het zo regelen, dat je binnen je vertrouwde netwerk geen MFA heb, maar daarbuiten wel.

Jeoh @Estel • 25 december 2020 11:44

Dat is superhandig als je al binnen dat vertrouwde netwerk zit

GMJansen

@Jeoh • 25 december 2020 11:59

Ik weet niet of dat sarcastisch is of niet

Hoe dan ook: gebruik je MFA binnen het netwerk is dat altijd lastiger voor de gebruikers, maar wel veiliger.

Meer en meer gemeentes, ziekenhuizen en bedrijven met gevoelige data gebruiken MFA binnen het netwerk om te voorkomen dat vreemden gegevens kunnen inzien die niet voor hun bestemd zijn.
Vreemden: collega's of mensen van buiten die in een (gedeeltelijk) openbaar gebouw wat makkelijker toegang hebben tot systemen, als zeg een hoofdkantoor van een bank.

wiseger @GMJansen • 25 december 2020 14:34

Makkelijker toegang tot systemen bij een hoofdkantoor van een bank? Bij een normale bank is alles 2FA en kritische afdelingen zijn closed shops, daar hebben zelfs bankmedewerkers die niet op die afdeling werken, geen toegang.

Estel @wiseger • 26 december 2020 14:28

Zijn genoeg banken waar dat niet zo is. Die maken gebruik van company laptops met certificaten en misschien een BYOD portaal die wel MFA heeft.

GekkePrutser @GMJansen • 25 december 2020 19:00

Je kan MFA met een Yubikey bijvoorbeeld op een handige maar toch veilige manier doen.

Met Fido2 kan je inloggen met het token (eerste factor), en je hebt een pincode nodig om het token te unlocken (tweede factor). En je moet het ook nog eens aanraken per gebruik waardoor het niet op afstand 'leeggemolken' kan worden om ongeautoriseerde logins uit te voeren terwijl het in de computer zit.

Al dat gedoe met 2FA apps vind ik ook niet handig, het is ook vaak traag omdat je die app elke keer weer op moet starten (gebeurt wel automatisch maar het duurt toch even). Maar ik zie app-based 2FA meer als een soort workaround, als tussenstap voordat er echte passwordless komt.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 14:56]

HerrPino @Estel • 25 december 2020 11:54

Beter kun je dat wel verplichten en daar een geldigheid van zeg 12 uur aan hangen (ruim genoeg voor een werkdag).

GMJansen

@My Tec Master • 25 december 2020 11:52

Wat heeft 2FA te maken met API calls?
Dat laatste zijn geautomatiseerde berichten uitwisselingen tussen systemen.
2FA wordt gebruikt door mensen als ze inloggen op een systeem.

Rudie_V @GMJansen • 25 december 2020 12:16

De hackers hadden toegang verkregen tot een Microsoft Azure-account van een reseller waarmee de Office-licenties van CrowdStrike werden beheerd.

2FA had al kunnen voorkomen dat men toegang had gekregen tot het azure-account van het bedrijf.

wiseger @GMJansen • 25 december 2020 14:36

Hackers nemen de creditials van anderen over via hun hack. Dat kunnen user accounts zijn of service accounts. Door user accounts 2FA te maken, blokkeer je die mogelijkheid. Dan hoef je verder alleen de service accounts gelimiteerde rechten te geven en het wordt voor hackers al een stuk lastiger.

locke960 @My Tec Master • 25 december 2020 15:34

Dat is niet het eerste wat ik me afvraag als ik lees dat een Microsoft Azure-account van een reseller, waarmee de Office-licenties worden beheerd, blijkbaar toegang heeft tot de inhoud van alle mails in de organisatie. (Als ze Office 365 mail zouden hebben gebruikt)

Dat klinkt als een gigantische rechten faal.

GekkePrutser @locke960 • 25 december 2020 18:58

Binnen Azure AD heet de 'alles' rol Global Administrator. Dat heb je nodig om bepaalde vinkjes aan/uit te zetten in dingen als conditional access (logisch omdat je daarmee het hele bedrijf er in 1x uit kan gooien) maar niet om licenties te beheren. Dat kan je ook met veel mindere rechten doen.

Dus als dit zo geweest was dan was het een faal van de klant, niet het platform. Maar aangezien ze er geen data in opsloegen zoals emails was er dus sowieso niet zo veel aan de hand.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 14:56]

mbb @locke960 • 26 december 2020 05:09

Ja dat snap ik ook niet. Misschien dat die een update van office kan pushen waarin een plugin mee gepackaged is die mails kan lezen ofzo?

GekkePrutser @My Tec Master • 25 december 2020 18:57

Aan de andere kant, als je het zoals Crowdstrike niet voor beveiligde informatie gebruikt zoals email, onedrive etc maar alleen voor je office licenties is er ook niet zo heel veel aan de hand.

Misschien was het dan een drive-by scriptkiddie maar aan de andere kant klinkt dit weer veel te technisch daarvoor.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 14:56]

Jeoh 25 december 2020 11:03

Rare zaak. Zoveel moeite gedaan om bij CrowdStrike binnen te raken, maar niet de moeite genomen om te kijken welk mailplatform ze gebruiken?

GekkePrutser @Jeoh • 25 december 2020 19:02

Dit vind ik ook raar. Je zou verwachten dat als het een serieuze hackpoging was, ze dit allang in kaart hadden gebracht.

Het is ook helemaal niet moeilijk om te zien namelijk, zorg dat je een mailtje van ze krijgt en je kan het aan de headers al zien waar het vandaan komt.

unaco @Jeoh • 26 december 2020 08:18

Idd.. record opvragen / monitoren is kleine moeite, hadden ze gezien dat het hosted is door een grote email security vendor. Daarnaast zie ik hier boven een hele speculatieve discussie over MFA en CRWD en ze gebruiken extra (multi) authenticatie afhankelijk van welk device toegang wil vanaf locatie-x dus lijkt me prima ingeregeld.

rob12424 25 december 2020 11:55

Wat mij vooral opvalt is de manier waarop. Toen Debian gehacked was en hun packaging signing systeem dus ook. Toen viel iedereen erover dat het dus niet zo betrouwbaar was als veel mensen dachten.

Toch Mede omdat het een community is voerden ze verbetering en ook advies van hoe hadden we dit kunnen voorkomen?

Heeft niemand daar dan van geleerd?

https://www.smh.com.au/te...mise-20031201-gdhw7j.html

Bovenstaande bevat meer info over hoe Debian toen is aangevallen en hoe het ontdekt is.

[Reactie gewijzigd door rob12424 op 22 juli 2024 14:56]

ISaFeeliN 25 december 2020 23:57

Kudo's voor Microsoft hier trouwens .. !

Cavemen @ph4ge • 25 december 2020 12:52

Waar heb jij het nou weer over? Trump komt nergens in het artikel voor. Verkiezingen zijn voorbij, hij heeft verloren dus waarom zou hij zijn reactie precies willen uitstellen?

ph4ge @Cavemen • 25 december 2020 17:51

Hij heeft pas na de verkiezingen gereageerd, terwijl hij het al ruim voor de verkiezingen wist. Hij heeft het uitgesteld tot na de verkiezingen omdat het ongunstig voor hem is, hij is verantwoordelijk en zn vrienden in Rusland zitten er achter.

wiseger @ph4ge • 25 december 2020 14:38

Hij heeft al gereageerd, volgens Trump zijn het wellicht de Chinezen geweest. De verkiezingen in de VS zijn alweer een tijdje geleden.

ph4ge @wiseger • 25 december 2020 17:51

Hij heeft al gereageerd, volgens Trump zijn het wellicht de Chinezen geweest. De verkiezingen in de VS zijn alweer een tijdje geleden.

Precies, terwijl hij het al lang voor de verkiezingen wist, een ook wist dat het niet de Chinezen zijn.

Edgarz @ph4ge • 25 december 2020 16:58

Ik denk je bedoelt "over de overdracht" heen. Dat Biden het mag oplossen. En onderwijl er wellicht vrij spel is...

mutley69 @Edgarz • 26 december 2020 16:42

Gelukkig is nu uitgekomen dat Trump gewoon niks doet - daarmee verliest hij aan z'n valse populariteit - die dankzij facebook en de alternative-right-zenders ten onrechte opgebouwd is kunnen worden. Nog nooit in mijn leven heb ik zo'n leugenpaleis geweten - zelfs Richard Nixon ging zo ver niet.

Edgarz @mutley69 • 27 december 2020 14:44

OT:
Trump heeft geen rulebook. Waar Nixon de grenzen van de grondwet opzocht en er een stapje overheen zette, negeert Trump deze feitelijk geheel, alsof deze niet bestaat. Behalve het 2nd amendment uiteraard.

Op dit item kan niet meer gereageerd worden.

'SolarWinds-hackers probeerden securitybedrijf CrowdStrike binnen te dringen'

Lees meer

Reacties (44)

Sorteer op:

Weergave: