SolarWinds-hackers zaten in mailboxen van Amerikaans ministerie van Justitie

De hackers achter de supply-chainaanval op SolarWinds hadden toegang tot e-mails van het Amerikaanse ministerie van Justitie. Volgens de cio van het ministerie kwamen criminelen binnen in de Office 365-omgeving.

De ontdekking werd al op 24 december gedaan, maar komt nu pas naar buiten. Op kerstavond ontdekte de chief information officer-afdeling van het Amerikaanse ministerie van Justitie dat criminele hackers de Office 365-omgeving konden binnendringen. De aanvallers hadden toegang tot ongeveer drie procent van alle inboxen. Volgens het ministerie zijn er geen aanwijzingen dat het om vertrouwelijke systemen gaat, maar details geeft het niet.

Het ministerie zegt niet hoe de criminelen precies wisten binnen te komen, maar wel dat dat gerelateerd was aan de SolarWinds-hack van halverwege december. Toen wisten staatshackers via de Orion-netwerkmonitorsoftware van SolarWinds verschillende overheidsinstellingen en bedrijven binnen te dringen. Ze konden daar lange tijd ongemerkt in de systemen blijven zitten. Over de hack is nog veel onduidelijk en een van de vragen is hoe de hackers de aanwezige tweestapsverificatie van e-mailaccounts wisten te omzeilen. In één geval konden de aanvallers een memory dump maken van servers waar de Outlook Web App op draaide, om daar vervolgens een mfa-sleutel van Duo te halen. Het is niet duidelijk of dat in dit geval ook is gebeurd. Het ministerie zegt dat het de toegang voor de hackers heeft afgesloten.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 07-01-2021 10:16 88

07-01-2021 • 10:16

88

Lees meer

SolarWinds: aantal slachtoffers van Sunburst-achterdeur is minder dan honderd
SolarWinds: aantal slachtoffers van Sunburst-achterdeur is minder dan honderd Nieuws van 10 mei 2021
SolarWinds-hackers kregen toegang tot deel broncode van drie Microsoftproducten
SolarWinds-hackers kregen toegang tot deel broncode van drie Microsoftproducten Nieuws van 19 februari 2021
Overheid VS: SolarWinds-hack trof minimaal 100 bedrijven en 9 overheden
Overheid VS: SolarWinds-hack trof minimaal 100 bedrijven en 9 overheden Nieuws van 18 februari 2021
Malwarebytes: SolarWinds-hackers vielen ons ook aan en lazen bedrijfsmails
Malwarebytes: SolarWinds-hackers vielen ons ook aan en lazen bedrijfsmails Nieuws van 19 januari 2021
Symantec vindt vierde malware-soort die tijdens SolarWinds-hack werd gebruikt
Symantec vindt vierde malware-soort die tijdens SolarWinds-hack werd gebruikt Nieuws van 19 januari 2021
NYT: zeker 250 overheidsinstanties en bedrijven getroffen door SolarWinds-hack
NYT: zeker 250 overheidsinstanties en bedrijven getroffen door SolarWinds-hack Nieuws van 3 januari 2021
Wat weten we nu wel - en vooral niet - over de SolarWinds-hack?
Wat weten we nu wel - en vooral niet - over de SolarWinds-hack? Nieuws van 17 december 2020
Enkele honderden Nederlandse bedrijven gebruiken kwetsbare SolarWinds-software
Enkele honderden Nederlandse bedrijven gebruiken kwetsbare SolarWinds-software Nieuws van 16 december 2020
Ernstige kwetsbaarheid in SolarWinds-tool Orion wordt actief uitgebuit
Ernstige kwetsbaarheid in SolarWinds-tool Orion wordt actief uitgebuit Nieuws van 14 december 2020
Meer producten en artikelen
Beveiliging en antivirus SolarWinds

Reacties (88)

-Moderatie-faq
88
78
27
5
0
34
Wijzig sortering

Sorteer op:

Weergave:
iFap 7 januari 2021 10:25
In één geval konden de aanvallers een memory dump maken van servers waar de Outlook Web App op draaide, om daar vervolgens een mfa-sleutel van Duo te halen.
Zo zie je maar dat MFA zeker ook niet waterdicht is. Er zijn altijd wel manieren om een account binnen te dringen. Echter wordt MFA wel vaak verkocht als wondermiddel.
AuteurTijsZonderH Nieuwscoördinator @iFap7 januari 2021 10:37
Hangt er vanaf wat je definitie van 'wondermiddel' is. Microsoft zegt bijvoorbeeld dat meer dan 99% van de inbraakpogingen erdoor voorkomen wordt - dat mag je denk ik best een wondermiddel noemen. 100% bescherming ga je natuurlijk nooit krijgen, zeker niet als je je tegen Russische staatshackers moet verdedigen.
skunkopaat @TijsZonderH7 januari 2021 11:14
Volledig offtopic hoor, maar het is toch helemaal niet zeker dat het Rusland was?
qvotaxon @skunkopaat7 januari 2021 11:38
Dit is ook wat mij verbaasd. Telkens weer, er is gehackt, er is nog niets bekend over hoe de hack precies heeft plaatsgevonden, maar binnen enkele uren wordt er al met een beschuldigende vinger richting Rusland gewezen.

Ik weet dat het geen heilige boontjes zijn en dat er in het verleden zeker bewijs is gevonden dat Russische hackers aanvallen hebben gepleegt. Maar toch verbaas ik mij telkens weer over hoe snel er wordt gesproken over Russische staatshackers.
AuteurTijsZonderH Nieuwscoördinator @qvotaxon7 januari 2021 12:06
Dat 'beschuldigende vinger binnen een paar uur' is in dit geval een gezamenlijk onderzoek van de NSA, FBI en CISA. Dat is niet gewoon even iets roepen.
EchoWhiskey @TijsZonderH7 januari 2021 13:30
"een gezamenlijk onderzoek van de NSA, FBI en CISA Amerikaanse overheid."

Niet om flauw te doen, maar NSA/FBI/CISA/Whoever zijn natuurlijk handen op dezelfde buik.
Ik heb geen idee of het Russische staatshackers zijn, maar bovengenoemde organisaties zijn net zo onbetrouwbaar...
Lcanrinus @qvotaxon7 januari 2021 11:46
Als het echt zo is dat ze bij emailberichten kwamen.
Is er dan nog iemand die hier ook aan terug moet denken?
Zie:
https://youtu.be/mQb2S4DIcNc
Verwijderd @qvotaxon7 januari 2021 14:40
Je hebt volledig gelijk gezien hier 0,0 bewijs voor de bewering wordt geleverd. Je gaat puur uit van een eenzijdig verhaal. Maar laten we ook eerlijk zijn: de koude oorlog is er 1 geweest van spionage en die trend is gewoon doorgezet tot het heden.

Je kunt dus Occam's Razor principe toepassen en dan heb je snel een selecte groep daders zoals Rusland, Iran, Noord-Korea, etc.... Die groep kun je vrij snel kleiner maken door de vragen te stellen:
  • Wie heeft het meeste belang bij deze situatie?
  • Wie heeft de kennis en kunde om dit uit te voeren?
  • Wie heeft het budget om dit uit te voeren?
  • Wie zat er achter (soortgelijke) historische incidenten?
  • Volgens welke methoden werkten deze groeperingen?
Vooral het budget is hier belangrijk. Dit is een zeer professionele organisatie geweest met hoog geskilde medewerkers... En we weten zeker dat

Anyway, helemaal zeker weet men het nooit tenzij ze bekennen. En laat het Rusland nu altijd hetzelfde antwoord hebben: We weten nergens van... Zelfs al rijden de soldaten door de Krim.. Wij weten nergens van.. Ze zijn net Shaggy:
  • But she caught me on the counter (Wasn't me)
  • Saw me bangin' on the sofa (Wasn't me)
  • I even had her in the shower (Wasn't me)
  • She even caught me on camera (Wasn't me)
  • She saw the marks on my shoulder (Wasn't me)
  • Heard the words that I told her (Wasn't me)
  • Heard the screams gettin' louder (Wasn't me)

[Reactie gewijzigd door Verwijderd op 24 juli 2024 08:26]

Xfade @skunkopaat7 januari 2021 11:52
Denk dat hij het als een soort voorbeeld bedoelt, niet per sé over deze topic. Blijft best wel een bout voorbeeld.
De Dikke @Xfade7 januari 2021 12:49
Denke moet je aan een paard over laten :)
Zie verklaring van @TijsZonderH
AuteurTijsZonderH Nieuwscoördinator @skunkopaat7 januari 2021 11:47
Nagenoeg zeker. Attributie kan nooit helemaal zeker zijn maar iedere overheidsinstelling in Amerika die het lek bestudeert wijst naar Rusland, er zijn zo overtuigend veel aanwijzingen dat het vrijwel niet anders kan. Trump is eigenlijk de enige persoon die die lezing in twijfel trekt.
AuteurTijsZonderH Nieuwscoördinator @Deevan7 januari 2021 12:04
Ja je kunt wel lekker in een reflex 'linkse indoctrinatie' schreeuwen maar ik snap niet zo goed wat er een theorie is aan verklaringen die de FBI, NSA en CISA samen uitbrengen. Maar goed, zij zullen vast ook geen bewijs hebben nee.
WORPspeed @VittunWasted7 januari 2021 14:51
Pot verwijt de ketel...

Kan jij wel begrijpend lezen? Tijs zegt niet dat het vast staat. Hij zegt 'nagenoeg zeker' en 'vrijwel niet anders kan'. Dat is dus iets anders dan 'zeker' en 'het kan niet anders'

Zoek 'nagenoeg' en 'vrijwel' maar op in het woordenboek en hoe dat zich vertaald naar 'likely' en niet naar 'certainly'
VittunWasted @WORPspeed7 januari 2021 15:31
Ok. Had die ene post van hem gemist in deze thread. Hoewel "nagenoeg zeker" is wel sterker dan waarschijnlijk, is het hierbij is het dan wel correct om mij te verontschuldigen voor het begrijpend lezen gedeelte van mijn reactie.

[Reactie gewijzigd door VittunWasted op 24 juli 2024 08:26]

WORPspeed @VittunWasted8 januari 2021 15:57
En als je dus dat gedeelte weghaald over t begrijpend lezen. Wat blijft er nog over van je reactie?
Lijkt me dan dat je het eens bent met Tijs dat het WAARSCHIJNLIJK Rusland is (volgens het rapport), maar dat er een kleine kans (hoe klein ga ik niet op in) dat het niet Rusland is.
WORPspeed @Deevan7 januari 2021 14:56
Dus Trump (rechtse president) geeft de opdracht om het te onderzoeken en de conclusie uit zijn onderzoek is een 'linkse politieke mening'
En dan is dit een politiek spelletje van de gehele Amerikaanse overheid? (dat terwijl de president van die overheid het er zelf niet mee eens is)

En dit 'makes sense how?
WORPspeed @Deevan8 januari 2021 15:53
De auteur van dit topic neemt alleen de conclusie van eht rapport over. Dat het waarschijnlijk Rusland is.
Geeft daarbij geen eigen toevoeging. Dus of die conclusie van her rapport is dan volgens jou ook links en klopt mijn post gewoon.Dus toedeloe met je rotzooi conspiracies
WORPspeed @Deevan9 januari 2021 15:40
Ah ok. Ik snap je punt. Dacht dat je het over het conclusie van het rapport had. Dat die een linkse politieke mening was en tegelijkertijd een Government conspiracy.

Maar jouw punt is dat Tijs niet moest zeggen dat alleen Trump er zijn twijfels bij zet want er zijn meer mensen die eraan twijfelen.

Als dat je punt is, ja dan kan ik je gelijk geven. Er zijn meer mensen die eraan twijfelen. Maar is dat zoveel comments waard en kon je dat niet duidelijker verwoorden. Zoiets als:

"Nee, Tijs, behalve Trump zijn er meer mensen die aan de conclusie twijfelen"

Zou ons een hoop tijd bespaard hebben.

Of is er meer waar je het niet eens mee bent dat Tijs gezegd heeft?
AuteurTijsZonderH Nieuwscoördinator @bro!7 januari 2021 13:11
Yup en 'de feiten' zoals ik die al meerdere keren heb benoemd in dit topic zijn aanwijzingen van Amerikaanse overheidsinstellingen zoals de NSA, de FBI en de CISA. Dat is echt geen kwestie van afstrepen van mogelijke landen tot er nog maar één overblijft.
bro! @TijsZonderH7 januari 2021 13:22
Je slaat hier echter wel een paar belangrijke stappen over. Die feiten zijn afkomstig van niet betrouwbare partijen. (Ik bedoel hiermee partijen die zich in het verleden reeds bewezen hebben als verspreiders van desinformatie en leugens, wat niet wil zeggen dat dat nu per se ook zo is, maar wel dat je de informatie die ze brengen niet direct als harde feiten mag aannemen).

>Dat is echt geen kwestie van afstrepen van mogelijke landen tot er nog maar één overblijft.

Inderdaad, dus is het een kwestie van het hele lijstje noemen.
nl-chrs @TijsZonderH7 januari 2021 13:47
@TijsZonderH , ik denk dat je het beter bij waarnemingen/Citaten kan houden dan dat je de uitspraken van de Amerikaanse overheid overneemt als "Feiten".. dit valt veel mensen verkeerd.
Sand0rf @iFap7 januari 2021 10:34
De enige manier om het waterdicht te maken is om het niet te gebruiken of airgapped te gebruiken. MFA is geen wondermiddel dat alles in één keer oplost maar zorgt ervoor dat het voor de gemiddelde hacker niet meer te doen is om in te loggen. De SolarWinds hackers zijn absoluut geen gemiddelde hackers te noemen.
Cergorach
@Sand0rf7 januari 2021 10:41
Airgapped heeft men al lang geleden laten zien, is ook niet 100% veilig. Three can keep a secret, if two of them are dead.
D0phoofd @iFap7 januari 2021 12:28
Het gaat hier om een behoorlijk geavanceerde hack. Bij een 'reguliere' inbraakpoging, waarbij de voordeur word gebruikt, of via social-engineering. Ja dan is MFA zeker nét dat ene slot wat ze nog buiten weet te houden.
JackBol @iFap7 januari 2021 15:39
MFA is zeker wel een ‘wondermiddel’ voor het verhogen van de identificatie van gebruikers. In dit geval was de sleutel waarmee de OWA zich richting duo authenticeert gestolen. Dat is geen MFA probleem maar zou een probleem zijn voor elk type van authenticatie. Het is vergelijkbaar met het stelen van het root wachtwoord.
kuurtjes @JackBol7 januari 2021 15:56
Dit antwoord hoopte ik te lezen. Ze hebben waarschijnlijk gewoon alles omzeild.
Cergorach
7 januari 2021 10:28
Hoe komt men in slechts 3% van de accounts? Dan is er geen admin account 'compromised', want dan hadden ze in alle accounts gezeten. Als men individuele user accounts heeft buitgemaakt dan staat MFA niet aan voor die accounts.

Als ik echter na de bron ga, dan staat daar:
At this point, the number of potentially accessed O365 mailboxes appears limited to around 3-percent and we have no indication that any classified systems were impacted.
Dat vertaald volgens mij naar iets anders dan:
De aanvallers hadden toegang tot ongeveer drie procent van alle inboxen.
Mogelijk geopende mailboxen zou 3% zijn. Interpreteer ik dat goed dat men slechts toegang heeft gezocht tot 3% van de mailboxen, maar dat men in theorie toegang had tot alles. Dus toch AAD/EXO admin rechten had op die O365 omgeving?
AuteurTijsZonderH Nieuwscoördinator @Cergorach7 januari 2021 10:36
'Potentially accessed' lees ik als 'inboxen waar ze in potentie toegang toe hadden', maar ze zeggen niet of er ook toegang is geweest tot die inboxen.
Oyxl @TijsZonderH7 januari 2021 10:54
Dat is een incorrecte vertaling. Het woord potential verwart de boel een beetje, maar zoals het er staat zou het betekenen dat er daadwerkelijk ingebroken zou zijn op (tot) 3% van de mailboxen. Dat betekent dat er geen uitspraak wordt gedaan over toegang hebben, maar daadwerkelijk inzien van.

Potential zal hier vooral een "bij benadering" of "schatting" zijn.

[Reactie gewijzigd door Oyxl op 24 juli 2024 08:26]

Patriot @Oyxl7 januari 2021 13:57
Dat is een incorrecte vertaling. Het woord potential verwart de boel een beetje, maar zoals het er staat zou het betekenen dat er daadwerkelijk ingebroken zou zijn op (tot) 3% van de mailboxen. Dat betekent dat er geen uitspraak wordt gedaan over toegang hebben, maar daadwerkelijk inzien van.
Het is niet echt een vertalingsprobleem, het is gewoon onduidelijk.
Potential zal hier vooral een "bij benadering" of "schatting" zijn.
Absoluut niet. Dat is echt een veel beroerdere lezing dan die van Tijs.
Oyxl @Patriot7 januari 2021 16:30
De letterlijke vertaling is Mogelijk, potentieel, wellicht. Dit kan in deze context absoluut vrij interpretabel zijn als "we hebben geen precieze data". In feite zijn potentially en around hier contextueel overbodig en zelfs tegenstrijdig.

Potentially geeft een maximale (schatting) aan, around geeft een benadering aan.

Het is absoluut niet onduidelijk, alleen als je snel leest.

De Engelse zin combineert zo veel mogelijk slagen om de arm, wellicht misschien is er maximaal ongeveer 3% ingebroken, maar de kern blijft dat erop is ingebroken en niet dat men maximaal toegang had tot ongeveer 3%.

[Reactie gewijzigd door Oyxl op 24 juli 2024 08:26]

Patriot @Oyxl7 januari 2021 16:44
De letterlijke vertaling is Mogelijk, potentieel, wellicht. Dit kan in deze context absoluut vrij interpretabel zijn als "we hebben geen precieze data".
Niet mee eens. Het gaat om de potentie die bepaalde accounts hebben om er eentje te zijn waartoe kwaadwillenden zich toegang hebben verschaft, het gaat niet om het aantal en kan in deze context in feite geen benadering of schatting zijn.
In feite zijn potentially en around hier contextueel overbodig en zelfs tegenstrijdig.
Ze gaan over iets anders, potentially slaat op bovenstaande en around gaat om het formaat van die groep.
Het is absoluut niet onduidelijk, alleen als je snel leest.
Onduidelijk is misschien niet het best gekozen woord, maar het is dubbelzinnig. Het kan op beide manieren uitgelegd worden. Dat wil zeggen dat je er voor een nieuwsbericht niet zomaar van uit moet gaan dat de één of de andere lezing correct is, maar voor beide lezingen valt zeker iets te zeggen.
Oyxl @Patriot8 januari 2021 00:20
Tja, ik kan het daar dus niet mee eens zijn. Het is crystal helder wat daar staat. Het wordt opzettelijk verwarrend opgeschreven. We blijven nu in de potentially discussie hangen, maar dat hele woord is in de zin niet relevant. Daarom zei ik dat het tot verwarring leidt.
accessed O365 mailboxes appears limited to around 3-percent
Dit is de quote. Mailboxes, waartoe toegang is..toegeëigend, lijken beperkt gebleven tot ongeveer 3%. Er is géén discussie mogelijk over wat daar staat. Wel over de mate waarin je Engels beheerst.

En er is altijd de mogelijkheid dat het er verkeerd staat, ook native speakers beheersen hun taal niet altijd.

[Reactie gewijzigd door Oyxl op 24 juli 2024 08:26]

Patriot @Oyxl8 januari 2021 13:35
We blijven nu in de potentially discussie hangen, maar dat hele woord is in de zin niet relevant.
Het is de crux van deze hele discussie :')

De dubbelzinnigheid komt van en zit in het woord potentially. Als je het woord weglaat dan is het onmiskenbaar dat er staat wat je zegt dat er staat, dat het aantal accounts waar men zich toegang tot heeft verschaft rond de 3% ligt.

Door het toevoegen van het woord potentially kun je twee kanten op:

1. De betreffende hoeveelheid accounts vertonen verdachte sporen wat erop kan wijzen dat er toegang tot is verschaft, of;

2. of men zich tot de betreffende accounts toegang heeft verschaft is totaal onduidelijk, maar ze hadden in potentie toegang tot deze accounts en of dat daadwerkelijk heeft plaatsgevonden moet nog worden onderzocht.

edit: typo

[Reactie gewijzigd door Patriot op 24 juli 2024 08:26]

Oyxl @Patriot8 januari 2021 14:04
Het is niet dat ik het oneens ben met .2, maar de nuance zit 'm wel degelijk in het woord Access. Als er sprake zou zijn van "potentially would have had access to a maximum of 3%", dan betekent dat heel iets anders dan "Potentially accessed a maximum of 3%".

Potentially is hier zeer zeker een variabele die de conclusie niet zuiver maakt, maar zou in dit geval betekenen dat er bijv. op basis van de huidige kennis en technische symptomen/loggingen is geconstateerd dat er potentieel X mailboxen zijn die zijn ingezien. Het zegt absoluut niets over een maximale op het aantal accounts die men in theorie zou kunnen inzien.
Patriot @Oyxl8 januari 2021 14:57
Het is niet dat ik het oneens ben met .2, maar de nuance zit 'm wel degelijk in het woord Access. Als er sprake zou zijn van "potentially would have had access to a maximum of 3%", dan betekent dat heel iets anders dan "Potentially accessed a maximum of 3%".
Dat is duidelijker ja, maar dat staat er niet.
Potentially is hier zeer zeker een variabele die de conclusie niet zuiver maakt, maar zou in dit geval betekenen dat er bijv. op basis van de huidige kennis en technische symptomen/loggingen is geconstateerd dat er potentieel X mailboxen zij die zijn ingezien. Het zegt absoluut niets over een maximale op het aantal accounts die men in theorie zou kunnen inzien.
Er was potentieel toegang tot 3 procent van de accounts, de aanleiding van waarom dat in potentie zo is weten we gewoon niet op basis van de tekst.
Oyxl @Patriot8 januari 2021 15:05
Nee er is potentieel ingebroken op 3%, het zegt niets over waar men maximaal toegang toe had. Begint het al een beetje door te dringen? Jij ziet de omissie van het woord toegang hebben tot als een bevestiging dat men slechts toegang had tot die 3%. Ik lees wat er exact staat en dat is dat er op tot op 3% is ingebroken. Potentially.

En we weten inderdaad niet wat de reden is dat men het niet precies weet, daarom was mijn voorbeeld ook een voorbeeld, maar dat doet dus niet ter zake.

[Reactie gewijzigd door Oyxl op 24 juli 2024 08:26]

Patriot @Oyxl8 januari 2021 15:17
Excuus, in de laatste zin moest nog het woord verschaft en doet niets af aan het punt, namelijk dat je niet weet waar de twijfel vandaan komt.
Ik lees wat er exact staat en dat is dat er op tot op 3% is ingebroken. Potentially.
Ja, en of dat is omdat er bij 3% sporen zijn gevonden of dat ze maar maximaal toegang konden hebben dat weet je niet omdat het niet is gespecificeerd ;) Daarom is de conclusie dat het dat tweede is voorbarig, maar concluderen dat het daarom het eerste van toepassing moet zijn is net zo voorbarig.

[Reactie gewijzigd door Patriot op 24 juli 2024 08:26]

bdbfz @Oyxl7 januari 2021 16:08
Ik stel me dit scenario voor:
- op tijd X kom je erachter dat sinds X-Y iemand admin toegang had
- je hebt een marker die aangeeft wanneer een mailbox laatst geaccessed is geweest (zoals atime op een Unix filesysteem)
- bij 97% van de mailboxen is die marker ouder dan tijdstip X-Y. Die werden door niemand geaccessed. De andere werden door iemand geopend, maar dat kan de eigenaar of de inbreker geweest zijn.
dan lijkt het erop (onder voorbehoud dat die marker te vertrouwen is) dat slechts 3% van de mailboxen "potentially accessed" was.
Loggedinasroot @TijsZonderH7 januari 2021 10:40
Dat zou eerder "potentially accessible" zijn denk ik.
kodak
@Cergorach7 januari 2021 11:03
Ik neem aan dat als ze de toegang belangrijk vinden ze waarschijnlijk zuinig met accounts omgaan waar ze bijvoorbeeld veel aan kunnen hebben om iets anders te kunnen bereiken. Dus als er bijvoorbeeld toegang is gekregen tot een netwerk dan kunnen ze dat ook voorzichtig gebruiken (niet meteen alles doen wat mogelijk is), of alleen gebruiken om bepaalde netwerkaccounts aan te vallen waar interesse in is.
beerse @Cergorach7 januari 2021 11:22
Als je bij een grote exchange omgeving toegang hebt tot 1 toegangs-node van een cluster dan heb je een deel van de hele exchange omgeving. Stel dat een exchange cluster omgeving bestaat uit 33 toegangs-nodes en 1 node is gehakt, dan is dat ongeveer 3% van de mailboxen die toevallig via die node lopen.
Cergorach
@beerse7 januari 2021 11:41
Ze hebben het hier echter over Office 365. Het zou natuurlijk een hybride omgeving kunnen zijn...
JeroenKuit @Cergorach7 januari 2021 12:22
3% van 100.000 is 3.000. Best veel.

Potentially accessed 3000. Ze hadden toegang tot alles maar echt ingegaan: slechts 3%.
theduke1989 7 januari 2021 10:34
ik vraag me af hoe alles wordt beheerd.

Onze hybride infrastructuur bijvoorbeeld kan je alleen inloggen op de ''citrix farms voor O365'' de rest wordt keurig netjes geblocked waar nodig is. Ik bedoel Solarwinds is een soort SCOM neem ik aan? Die laat je toegang read access voor bepaalde dingen, je maakt daar toch geen admin rechten voor, want het hoort alleen in te lezen niks te ''herschrijven of wat dan ook? Alle andere ''dedicated ip's'' die we hebben zijn voor speciale doeleindes. Dus dan moet je wel heel slordig omgegaan zijn met je security.

[Reactie gewijzigd door theduke1989 op 24 juli 2024 08:26]

Cergorach
@theduke19897 januari 2021 10:54
Solarwinds is een soort SCOM neem ik aan?
Solarwinds is een merk, net als Microsoft. Microsoft is ook niet SCOM, SCOM is SCOM. Solarwinds heeft meerdere producten die concureren met SCOM, maar geen van deze zijn getroffen door deze hack. Het gaat om een deel van de Orion network tools van Solarwinds: https://www.solarwinds.com/solutions/orion

Die clients draaien natuurlijk op alle servers binnen je netwerk als je daar gebruik van maakt. En read access is ruim voldoende als je opzoek bent naar credentials die je kan misbruiken. Zo te zien is dat gelukt.

Wat ik me dan afvraag is waarom je O365 (hybrid) gaat gebruiken als je het alleen wil benaderen via Citrix? Gebruikers krijgen dus geen toegang tot hun mail op (bedrijfs) smartphones? Nu kan ik me bepaalde instanties voorstellen die zo vreselijk paranoïde omgaan met hun email, maar dat is super zeldzaam. Daarnaast waren er ook niet zo heel lang geleden behoorlijk wat issues met een security bug/issue met Citrix. Dus zo veilig is Citrix ook weer niet...
theduke1989 @Cergorach7 januari 2021 11:21
Citrix heeft gewoon de laatste grote issue gepatched. Natuurlijk moet je door blijven beveiligen.

En klopt bij ons kan je dus alleen binnen de farm inloggen op de O365(dedicated IP ranges). De rest zoals drive mapping en alles gaat via de Citrix farm. Daarnaast is de o365 bij ons een aparte tenant omdat ons bedrijf is overgenomen maar onze eigen infrastructuur niet benaderbaar mag zijn voor de overgenomen bedrijf. CSSF staat dit nog niet toe bij ons.

Daarnaast kan je wel gewoon O365 gebruiken mits je de telefoon in Intune zet natuurlijk via Intune Company Portal wat ook weer op een andere IP staat voor verbinding.

Daarom vindt ik het raar hoe alles beveiligd is. Ook qua MFA en RBAC wat we toepassen zou je de risico vele malen kleiner kunnen maken.

[Reactie gewijzigd door theduke1989 op 24 juli 2024 08:26]

JeroenKuit @theduke19897 januari 2021 12:16
Je kan er ook mee managen. 1 tool voor diverse switches bijvoorbeeld van andere vendoren. Dus ook een soort van SCCM.
Mellow Jack @theduke19897 januari 2021 14:40
SCOM is eerder 1 v/d bronnen. Tegenwoordig is single pane of glass een dingetje. Soms werkt iets met agent software, ssh koppelingen of wat dan ook. Geen idee nog wat hier specifiek is gebeurd maar read access is niet iets wat je omgeving direct veilig maakt. Er zijn zat methodes om rechten van jezelf of een proces te elevaten, die verschillen per omgeving en het is niet altijd even simpel.
Fawn 7 januari 2021 10:31
Al die moeite voor niets.
Blijkbaar kun je ook gewoon naar binnen lopen in het Capitol en daar de post stelen en e-mails lezen.
unreal0 @Fawn7 januari 2021 10:44
Fysieke beveiliging wordt nog steeds wel eens over het hoofd gezien in de 'cyber' security wereld ;)
Master_duck 7 januari 2021 11:31
MFA resetten is een koud kunstje in azure. Niks hack werk hier. ze hadden waarschijnlijk ook admin accounts te pakken, een admin kan zo een MFA van een user resetten. als je dan inlog met die gehackte user kan je de MFA instellen op een andere app of telefoon nummer.

Zit dus nog was security issues bij office 365 en of Azure. Je zou dus om dit te onderscheppen moet je dus een onafhankelijk platform de MFA regelen en niet intern in Azure.
Fox3214 7 januari 2021 16:22
Wat ik grappig vind, is dat er heel veel focus is om wat exact de lek is. En welke software exploitatie er is gewest, of welke hacker groep dit heeft gedaan (Rusland of China).

Maar heeft iemand zich al afgevraagd wat Solarwinds is? Of waarom deze hack nou zo killing is voor heel veel instaties/bedrijven?

Solarwinds is een van de betere monitoring software die wordt gebruikt bij heel veel instanties en bedrijven.
Bij de toco's waar ik ben geweest, zag ik dat meestal Solarwinds altijd een eerste keuze was. Echter is het software pakket met licenties erg duur, dus weerhouden mensen zich ervan om dit aan te schaffen.

Solarwinds is eigelijk een hele grote octopus die wordt ingezet om oneindig veel te monitoren, en het is zeer vrij eenvoudig om te op te zetten. Je spreekt dus van een stuk software wat leeft op een cruciale punt van een infrastructuur. Deze software staat meestal op een server/machine die toegang heeft tot meerdere netwerken. Vanuit deze situatie krijgt de solarwinds vaak vrij spel als het gaat om firewall policies, access-lists op back-ends en noem het om. Waarom? Omdat het wordt gecategoriseerd als 'monitor' verkeer.

Devices die uit worden gelezen door solarwinds geven vaak toegang via SNMP, of in ergere gevallen management poorten.

En daar zit dus een hele grote pijnpunt, vaak wordt Solarwinds dus gekoppeld aan allerlei management netwerk, of zelfs ALLE netwerken binnen een bedrijf. En staan firewalls SNMP, PING en andere TCP/UDP monitoring poorten toe.

Als je dus admin rechten op die doos krijgt, en kwaad aan wilt brengen. Dan kom je dus bijna overal bij in het netwerk waar je zit. Natuurlijk zijn er restricties op welke poorten je kan gebruiken, maar je moet voorstellen als jij al SNMP strings kan uitlezen van meerdere devices, en daarvan de community strings/wacht woorden heb. Dan heb echt een hele dikke jackpot te pakken.

Een security strategie is om meer monitoring te doen om het gedrag op monitor omgevingen. Aangezien dit vaak wordt gezien als een device die geen kwaad kan doen......
IJzerlijm 7 januari 2021 10:29
Op kerstavond ontdekte de chief information officer-afdeling van het Amerikaanse ministerie van Justitie dat criminele hackers de Office 365-omgeving konden binnendringen.
Ik betwijfel of de CIO persoonlijk op kerstavond nog wat logs zat te checken en opeens de hack ontdekte.
AceAceAce @IJzerlijm7 januari 2021 10:34
Er staat chief information officer-afdeling
David Mulder @AceAceAce7 januari 2021 11:20
Dit inderdaad, alhoewel ik het er mee eens ben dat het vreemd klinkt, want je zegt toch ook niet CEO-afdeling of CTO-afdeling, maar gewoon 'het bedrijf' en 'financiële administratie van een bedrijf'. Wat ik probeer te zeggen, ik begrijp dat IJzerlijm het verkeerd las.
Verwijderd 7 januari 2021 10:48
Ik zou dit toch allemaal eens in actie willen zien hoe ze dit doen :) Gewoon uit interesse.
Cergorach
@Verwijderd7 januari 2021 10:59
Here you go, enjoy!
https://www.looper.com/24529/dumbest-hacking-scenes-time/
segil @Verwijderd7 januari 2021 11:13
In actie zien niet, maar als je de podcasts van Darknet Diaries beluistert, of Malicious Life, dan hoor je van vergleijkbare hacks hoe het uitgvoerd is.
damylen 7 januari 2021 11:03
Het AP bericht hierover kwam naar buiten precies tijdens de 'protesten' van gisteravond in Washington. Zal iemand gedacht hebben: 'dat scheelt weer een headline'? Of ben ik te achterdochtig?
AuteurTijsZonderH Nieuwscoördinator @damylen7 januari 2021 12:07
Welk bericht bedoel je?
damylen @TijsZonderH7 januari 2021 13:01
Bericht van AP
https://apnews.com/articl...f08cad5b11c4dd0263ef6820b
WaterFire 7 januari 2021 11:09
Ach, gisteren hebben tientallen 'supporters' met hun telefoon foto's gemaakt van allerlei geheime papieren in het Capitool, dus zo bijzonder is dit niet meer :).

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq