Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

'SolarWinds-hackers probeerden securitybedrijf CrowdStrike binnen te dringen'

Het Amerikaanse softwarebeveiligingsbedrijf CrowdStrike was ook doelwit van de groep achter de grote SolarWinds-hack. Volgens het bedrijf probeerden de hackers binnen te komen via een reseller van Microsoft-software, maar lukte dat niet.

De hackpoging vond al maanden geleden plaats, maar CrowdStrike werd pas op 15 december op de hoogte gebracht door Microsoft, schrijft het beveiligingsbedrijf op zijn blog. De hackers hadden toegang verkregen tot een Microsoft Azure-account van een reseller waarmee de Office-licenties van CrowdStrike werden beheerd. Microsoft merkte op dat er vanaf dat account vreemde calls naar api's werden gemaakt. De indringers probeerden e-mails te lezen, maar dat lukte niet. CrowdStrike gebruikt Office-applicaties, maar geen Office 365 e-mail, waardoor de hack mislukte.

Op zijn blog noemt CrowdStrike niet direct het verband met de groepering achter de de hack op beveiligingsbedrijf SolarWinds, maar twee bronnen die bekend zijn met het onderzoek van CrowdStrike zeggen tegenover Reuters dat dit het geval is. "Als CrowdStrike Office 365 gebruikt had voor e-mail, zou het game over zijn geweest", zegt een van de bronnen.

CrowdStrike is een Amerikaans cybersecuritybedrijf dat in 2011 is opgericht. Vorig jaar had het bedrijf een omzet van 178,1 miljoen dollar en 1683 werknemers in dienst. Tal van grote bedrijven nemen het Falcon-platform af van CrowdStrike, waaronder Sony, Sega, Rackspace en Hyatt Hotels. Het platform is gericht op het tegenhouden van cyberaanvallen.

Als de hackers toegang hadden kunnen krijgen tot de systemen van CrowdStrike, dan had mogelijk een vergelijkbare situatie kunnen ontstaan als bij de SolarWinds-hack. De Orion-software van dat bedrijf is door vermoedelijke staatshackers geïnfiltreerd en geïnfecteerd, waardoor duizenden klanten kwetsbaar zijn. De hackers wisten zo tal van voornamelijk Amerikaanse overheidsinstanties binnen te dringen.

CrowdStrike noemt de SolarWinds Orion-hack een van de meest geavanceerde en verstrekkende aanvallen uit de recente geschiedenis. Meer over de ware omvang en motivaties achter de aanval moet in de komende weken en maanden duidelijk worden voor de beveiligingsindustrie en autoriteiten, aldus het bedrijf. Tweakers publiceerde een achtergrondartikel over de SolarWinds-hack.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Julian Huijbregts

Nieuwsredacteur

25-12-2020 • 11:00

44 Linkedin

Reacties (44)

Wijzig sortering
Je mag toch verwachten dat mensen in ieder geval voor hun Azure omgevingen 2factor authenticatie gebruiken. Blijkbaar is dat nog steeds niet de standaard bij veel bedrijven.. Voorkomt zoveel ellende, en maakt het al veel moeilijker om binnen te komen. Eigenlijk moet je dit afdwingen (pakket aan security eisen) bij partijen waar je applicaties van af neemt.
2FA is leuk tot ze je token jatten, dan komen ze er gewoon doorheen.
Het token is beveiligd met een PIN code. Het is 2FA dus moet men zowel het token stelen als de PIN code weten.
Ik bedoelde dan ook de token in je cookie en niet een hardware token :)
Wacht, een 2FA token als een yubikey is alleen beveiligd met PIN als je het in passwordless mode gebruikt.

Als je het puur als 2FA gebruikt (fido-1 mode, niet fido2 CTAP) dan heeft het geen pin nodig, je moet het alleen aanraken.
Het token is beveiligd met een PIN code. Het is 2FA dus moet men zowel het token stelen als de PIN code weten.
Snap je wel waar hier over wordt gesproken? Men heeft het over een TOKEN namelijk de primary refresh token?

https://cqureacademy.com/blog/hacks/pass-the-prt-attack
Misschien een oogscan gebruiken voor de tweede vorm van authenticatie, een oog jatten is echt lastig. ;)

Of overgaan op multiform authentication, wachtwoord, token, vingerscan, oogscan, spraakcontrole, hartritme en dit alles van tenminste 2 of meer personen. Je kan het zo moeilijk maken als je wilt. :+
Ik bedoelde het iets anders, stel je voor dat een hacker middels een exploit controle heeft gekregen tot je machine en jij hebt in een chrome sessie open met je ingeloggde azure ad admin account bijv.

Het is dan kinderspel om je logged in token te jatten en daarmee in te loggen.
Dat kan omdat als je al een logged in token ID hebt je geen MFA meer hoeft te doen.

Voorbeeldje:
Evilginx, being the man-in-the-middle, captures not only usernames and passwords, but also captures authentication tokens sent as cookies. Captured authentication tokens allow the attacker to bypass any form of 2FA enabled on user's account

[Reactie gewijzigd door Verderf op 25 december 2020 23:21]

Laten we vooral niet vergeten de Extensions voor Chrome. Je hebt dan zelfs niet de expoit nodig mensen installeren deze zelf. Volgens mij zijn er zelfs recht zaken geweest van Facebook tegen deze extension leveranciers. Eenmaal ingelogd maakt niet uit hoe is alles te stelen.
Helaas is een vriend van mij daar ook slachtoffer van geworden. Echt alles wat hij had aan wachtwoorden en whatnot in chrome was gejat.
Gelukkig bestaan ze nog, échte Tweakers die iets van IT snappen. De laatste jaren wordt Tweakers overspoeld met nitwits (zie de comments hierboven) die verdwaald zijn op weg naar "NUjij", dus het lezen van jouw post doet mij goed! _/-\o_

[Reactie gewijzigd door boolean op 26 december 2020 10:49]

Gelukkig wel, het is onderdeel van mijn baan :D Alleen het begrijpend uitleggen aan andere maakt het soms wat lastig.

[Reactie gewijzigd door Verderf op 26 december 2020 12:55]

Ik heb hier lang over nagedacht maar, zou dit theoretisch niet op te lossen zijn door de device fingerprint mee te nemen in de requests en het hashen van de token?

Zo kan een hacker jouw token wel jatten, maar zijn requests kloppen niet aangezien zijn device fingerprint niet klopt.
Dat is dan ook de reden waarom je bank (en veel belangrijke software) je tweede factor vereist als je daadwerkelijk een actie wilt ondernemen en het resultaat van die tweede factor verificatie dus een consumable is (je verifieert enkel de specifieke actie). Het is alweer meer dan een jaar geleden dat ik met Azure werkte, dus kan me niet goed herinneren of dat daar ook zo werkte, maar bij DigitalOcean zijn er bijv. bepaalde acties die ik niet mag doen zonder m'n tweede factor te verifieren.
Klopt - maar zodra een hacker controle heeft over een systeem is het sowieso afgelopen - dan is het doorgaans een kwestie van tijd voor de rest er ook aan moet geloven => ik vergelijk het wel eens met een bekende uitspraak van "the Borg" in StarTrek: "You will be assimulated - resistence is futile!"

Voor de liefhebbers:
https://en.wikipedia.org/wiki/Borg
Lastig? Zou je zeggen he... ;)

[Reactie gewijzigd door ErwinPeters op 25 december 2020 14:06]

Een oog vervangen is daarintegen ook heel lastig, mocht er alsnog een breach zijn
En vaak kun je het zo regelen, dat je binnen je vertrouwde netwerk geen MFA heb, maar daarbuiten wel.
Dat is superhandig als je al binnen dat vertrouwde netwerk zit :+
Ik weet niet of dat sarcastisch is of niet :9
Hoe dan ook: gebruik je MFA binnen het netwerk is dat altijd lastiger voor de gebruikers, maar wel veiliger.

Meer en meer gemeentes, ziekenhuizen en bedrijven met gevoelige data gebruiken MFA binnen het netwerk om te voorkomen dat vreemden gegevens kunnen inzien die niet voor hun bestemd zijn.
Vreemden: collega's of mensen van buiten die in een (gedeeltelijk) openbaar gebouw wat makkelijker toegang hebben tot systemen, als zeg een hoofdkantoor van een bank.
Makkelijker toegang tot systemen bij een hoofdkantoor van een bank? Bij een normale bank is alles 2FA en kritische afdelingen zijn closed shops, daar hebben zelfs bankmedewerkers die niet op die afdeling werken, geen toegang.
Zijn genoeg banken waar dat niet zo is. Die maken gebruik van company laptops met certificaten en misschien een BYOD portaal die wel MFA heeft.
Je kan MFA met een Yubikey bijvoorbeeld op een handige maar toch veilige manier doen.

Met Fido2 kan je inloggen met het token (eerste factor), en je hebt een pincode nodig om het token te unlocken (tweede factor). En je moet het ook nog eens aanraken per gebruik waardoor het niet op afstand 'leeggemolken' kan worden om ongeautoriseerde logins uit te voeren terwijl het in de computer zit.

Al dat gedoe met 2FA apps vind ik ook niet handig, het is ook vaak traag omdat je die app elke keer weer op moet starten (gebeurt wel automatisch maar het duurt toch even). Maar ik zie app-based 2FA meer als een soort workaround, als tussenstap voordat er echte passwordless komt.

[Reactie gewijzigd door GekkePrutser op 25 december 2020 19:01]

Beter kun je dat wel verplichten en daar een geldigheid van zeg 12 uur aan hangen (ruim genoeg voor een werkdag).
Wat heeft 2FA te maken met API calls?
Dat laatste zijn geautomatiseerde berichten uitwisselingen tussen systemen.
2FA wordt gebruikt door mensen als ze inloggen op een systeem.
De hackers hadden toegang verkregen tot een Microsoft Azure-account van een reseller waarmee de Office-licenties van CrowdStrike werden beheerd.
2FA had al kunnen voorkomen dat men toegang had gekregen tot het azure-account van het bedrijf.
Hackers nemen de creditials van anderen over via hun hack. Dat kunnen user accounts zijn of service accounts. Door user accounts 2FA te maken, blokkeer je die mogelijkheid. Dan hoef je verder alleen de service accounts gelimiteerde rechten te geven en het wordt voor hackers al een stuk lastiger.
Dat is niet het eerste wat ik me afvraag als ik lees dat een Microsoft Azure-account van een reseller, waarmee de Office-licenties worden beheerd, blijkbaar toegang heeft tot de inhoud van alle mails in de organisatie. (Als ze Office 365 mail zouden hebben gebruikt)

Dat klinkt als een gigantische rechten faal.
Binnen Azure AD heet de 'alles' rol Global Administrator. Dat heb je nodig om bepaalde vinkjes aan/uit te zetten in dingen als conditional access (logisch omdat je daarmee het hele bedrijf er in 1x uit kan gooien) maar niet om licenties te beheren. Dat kan je ook met veel mindere rechten doen.

Dus als dit zo geweest was dan was het een faal van de klant, niet het platform. Maar aangezien ze er geen data in opsloegen zoals emails was er dus sowieso niet zo veel aan de hand.

[Reactie gewijzigd door GekkePrutser op 25 december 2020 19:06]

Ja dat snap ik ook niet. Misschien dat die een update van office kan pushen waarin een plugin mee gepackaged is die mails kan lezen ofzo?
Aan de andere kant, als je het zoals Crowdstrike niet voor beveiligde informatie gebruikt zoals email, onedrive etc maar alleen voor je office licenties is er ook niet zo heel veel aan de hand.

Misschien was het dan een drive-by scriptkiddie maar aan de andere kant klinkt dit weer veel te technisch daarvoor.

[Reactie gewijzigd door GekkePrutser op 25 december 2020 19:03]

Rare zaak. Zoveel moeite gedaan om bij CrowdStrike binnen te raken, maar niet de moeite genomen om te kijken welk mailplatform ze gebruiken?
Dit vind ik ook raar. Je zou verwachten dat als het een serieuze hackpoging was, ze dit allang in kaart hadden gebracht.

Het is ook helemaal niet moeilijk om te zien namelijk, zorg dat je een mailtje van ze krijgt en je kan het aan de headers al zien waar het vandaan komt.
Idd.. record opvragen / monitoren is kleine moeite, hadden ze gezien dat het hosted is door een grote email security vendor. Daarnaast zie ik hier boven een hele speculatieve discussie over MFA en CRWD en ze gebruiken extra (multi) authenticatie afhankelijk van welk device toegang wil vanaf locatie-x dus lijkt me prima ingeregeld.
Wat mij vooral opvalt is de manier waarop. Toen Debian gehacked was en hun packaging signing systeem dus ook. Toen viel iedereen erover dat het dus niet zo betrouwbaar was als veel mensen dachten.

Toch Mede omdat het een community is voerden ze verbetering en ook advies van hoe hadden we dit kunnen voorkomen?

Heeft niemand daar dan van geleerd?

https://www.smh.com.au/te...mise-20031201-gdhw7j.html

Bovenstaande bevat meer info over hoe Debian toen is aangevallen en hoe het ontdekt is.

[Reactie gewijzigd door rob12424 op 25 december 2020 14:05]

Kudo's voor Microsoft hier trouwens .. !
Waar heb jij het nou weer over? Trump komt nergens in het artikel voor. Verkiezingen zijn voorbij, hij heeft verloren dus waarom zou hij zijn reactie precies willen uitstellen?
Hij heeft pas na de verkiezingen gereageerd, terwijl hij het al ruim voor de verkiezingen wist. Hij heeft het uitgesteld tot na de verkiezingen omdat het ongunstig voor hem is, hij is verantwoordelijk en zn vrienden in Rusland zitten er achter.
Hij heeft al gereageerd, volgens Trump zijn het wellicht de Chinezen geweest. De verkiezingen in de VS zijn alweer een tijdje geleden.
Hij heeft al gereageerd, volgens Trump zijn het wellicht de Chinezen geweest. De verkiezingen in de VS zijn alweer een tijdje geleden.
Precies, terwijl hij het al lang voor de verkiezingen wist, een ook wist dat het niet de Chinezen zijn.
Ik denk je bedoelt "over de overdracht" heen. Dat Biden het mag oplossen. En onderwijl er wellicht vrij spel is...
Gelukkig is nu uitgekomen dat Trump gewoon niks doet - daarmee verliest hij aan z'n valse populariteit - die dankzij facebook en de alternative-right-zenders ten onrechte opgebouwd is kunnen worden. Nog nooit in mijn leven heb ik zo'n leugenpaleis geweten - zelfs Richard Nixon ging zo ver niet.
OT:
Trump heeft geen rulebook. Waar Nixon de grenzen van de grondwet opzocht en er een stapje overheen zette, negeert Trump deze feitelijk geheel, alsof deze niet bestaat. Behalve het 2nd amendment uiteraard.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True