Microsoft ontdekt groep die slachtoffers PowerShell-commando's laat uitvoeren

Microsoft waarschuwt op sociale media voor de Noord-Koreaanse hackersgroep Emerald Sleet. De hackers passen social engineering toe om slachtoffers zover te krijgen om PowerShell-commando's als admin uit te voeren. De groepering heeft uiteenlopende internationale doelwitten.

In een socialemediathread detailleert Microsoft de 'nieuwe' werkwijze van de hackers, die ook opereren onder de namen Thallium, Kimsuky en Velvet Chollima. Leden van de groep zouden zich voordoen als Zuid-Koreaanse overheidsfunctionarissen en een band met een doelwit opbouwen. Uiteindelijk wordt het slachtoffer gevraagd om een pdf te lezen, waarvoor eerst een zogenaamd registratieproces van het gebruikte apparaat zou moeten worden afgerond. Om deze registratie uit te voeren wordt slachtoffers gevraagd om als administrator van een systeem code in PowerShell te plakken en uit te voeren.

Als de hackersgroep slachtoffers zover krijgt om de code uit te voeren, wordt er een in een browser gebaseerde remotedesktoptool gedownload. De cybercriminelen kunnen vervolgens gegevens van het gecompromitteerde systeem stelen. Volgens Microsoft zijn voornamelijk mensen doelwit die op internationaal niveau werken en in Noordoost-Azië actief zijn. Daarnaast zijn medewerkers van ngo's, overheidsinstanties en media uit onder meer Europa en Noord-Amerika doelwit van de staatshackers.

Microsoft raadt organisaties aan om maatregelen te treffen tegen deze vorm van phishing en claimt dat Microsoft Defender XDR activiteit van Emerald Sleet kan herkennen.

Reacties (103)

fRiEtJeSaTe 13 februari 2025 20:54

Precies de reden dat niemand in ons bedrijf lokale admin rechten krijgt behalve de IT-ers. Gebruikers zijn als het op IT aankomt gewoon dom. Nee niet allemaal maar het gros vertrouw ik zo ver als ik ze kan gooien. Vorige week in mijn afwezigheid probeerde er nog een M365 global admin rechten te versieren voor een leverancier omdat die leverancier ‘erom vroeg’. En continue die discussies over waarom ze nu weer met passkeys moeten gaan werken, of Windows Hello. Waarom ze een mfa sleutel moeten instellen op hun prive telefoon. Het hoort erbij, ik doe het niet om jullie te pesten. Het is een minimale opgave voor jou en een hoop werk voor IT. We streven allemaal hetzelfde doel na.

Ik ben inmiddels in het stadium dat ik de directie 2 opties geef: afdwingen of tekenen bij het kruisje die mijn verantwoordelijkheid opheft als het mis gaat.

Natuurlijk zit ik er niet zo zwart wit in. Maar het is inmiddels geen keuze meer om iets wel of niet te doen. Wil je niet gehackt worden dan moet het gewoon gebeuren. Geen admin rechten en bijv. execution policies zijn hier onderdeel van.

[Reactie gewijzigd door fRiEtJeSaTe op 13 februari 2025 21:00]

Danny Phantom @fRiEtJeSaTe • 13 februari 2025 21:01

"Waarom ze een mfa sleutel moeten instellen op hun prive telefoon" dit lijkt me ook niet hoe het hoort. Wanneer de werkgever iets wilt dient die daar gewoon in te voorzien. Heb wel eens op de kleine lettertjes gelet bij dat soort grapjes en dan geef je de werkgever gewoon admin privileges op je prive spul...

Om maar een voorbeeld te noemen
https://gathering.tweaker...message/54849969#54849969
"Als je bedrijfsmail op je privé telefoon wilt zullen er ook beperkingen worden ingesteld om data verlies te voorkomen. Dus navragen zoals MAX3400 al aangaf is het beste.

Bij mijn werkgever dwingen we (of het nu een privé toestel is of van de zaak) een password af, mag het toestel niet geroot zijn, encrypten het toestel en hebben de mogelijkheid om op afstand het toestel te wissen (alles of alleen werk gerelateerde data) als dit nodig is (verlies/diefstal van het toestel). Wat je er verder mee doet laten we vrij en we kijken al helemaal niet wat je er verder mee uitspookt "

[Reactie gewijzigd door Danny Phantom op 13 februari 2025 21:52]

StackMySwitchUp @Danny Phantom • 14 februari 2025 07:06

Tegenwoordig kun je app protection policy toepassen op alleen de data die van het bedrijf is. Daarmee komt er een containertje met bedrijfsdata die je los kunt encrypten en weggooien. Android heeft zelfs work profiles, dan heb je een heel ander profiel waar ook telefoonbrede policies op kunnen, maar dan alleen voor dat deel van de telefoon (het werkgedeelte)
Dus admin privilege is niet meer nodig, als een bedrijf je vraagt om je privetelefoon te enrollen dan moet het antwoord ook gewoon 'nee' zijn. Even for the record:enrollen is niet hetzelfde als app protection, dat laatste is geen enrollment voor nodig.
Bron: ik heb dit moeten uitzoeken en implementeren voor een paar klanten

fRiEtJeSaTe @Danny Phantom • 13 februari 2025 21:07

Dit is dus precies zo’n reactie. Het ging om een authenticator app, waar je een extra TOTP sleutel bij moest zetten. Niks geen admin rechten. Voor werknemers is het alleen maar eenrichtingsverkeer. Alles moet worden voorzien. Thuis werken? Prima maar de werkgever moet de koffie betalen. Hou toch op zeg. Wees blij dat het kan. Wees blij dat het bedrijf niet failliet gaat door ransomware omdat we MFA gebruiken, en je dus nog een baan hebt. Mogen we dan asjeblieft verwachten dat je een extra sleutel toevoegt aan een authenticator app die je toch al hebt…

En ja ik weet dat er ook van die mfa token dingen zijn. Maar moeten we dat nu allemaal gaan optuigen omdat jij te principieel bent om een qr-code te scannen?

Sorry ik ga weer terug in m’n hok. On-topic.

[Reactie gewijzigd door fRiEtJeSaTe op 13 februari 2025 21:09]

Danny Phantom @fRiEtJeSaTe • 13 februari 2025 21:42

Wat nou eenrichtingsverkeer? Je word letterlijk ingehuurd om je werk te doen, waar de werkgever gewoon winst op maakt. En dat is alles wat ze kunnen vragen, tenzij ze je in huren als zzp'er waarbij je op je eigen hardware werkt oid. Dus nee, je mag niet alsjeblieft software waar ik niet om heb gevraagd op mijn prive hardware. Zeker niet wanneer je te lui bent om een MFA key systeem op te zetten of te goedkoop bent om een goedkope werktelefoon te regelen. Want wat is nu een telefoon van 150-200 euro + een simkaartje vergeleken met het loon en alle andere kosten

[Reactie gewijzigd door Danny Phantom op 13 februari 2025 21:55]

fRiEtJeSaTe @Danny Phantom • 13 februari 2025 22:36

De software heb je al. Zo niet wordt het tijd. Als jij denkt dat een telefoon en abonnement regelen voor alle medewerkers, zodat ze 1 TOTP code kunnen genereren, een juiste verhouding is, dan heb je duidelijk geen ervaring binnen mkb.

lenwar

Beveiliging en antivirus

@fRiEtJeSaTe • 14 februari 2025 04:22

Als mijn werkgever ervoor kiest om TOTP te gebruiken voor een MFA-oplossing, wat ik sowieso al niet de slimste keuze vind, maar dat even terzijde, dan ben ik van mening dat mijn werkgever, daar dan wel de middelen voor moet verstrekken om dat te kunnen regelen.
Mij verplichten om iets te doen met mijn privé-spullen te moeten doen dan wel mijn verplicht een bepaald type apparaat te kopen (los van het feit dat vrijwel iedereen een telefoon heeft die het kan), heb ik wel een mening over.

Net zoals, dat als mijn werkgever mij verplicht om thuis te werken, een vergoeding moeten geven voor koffie/stroom/enz.
Als dat laatste vrijwillig is, ga ik nog wel met je mee.

telenut @lenwar • 14 februari 2025 09:24

Moet de werkgever uw koffie op het werk betalen?
TOTP verplicht u tot niks... je kan die helemaal zelf uitrekenen ook. https://chatgpt.com/share...80-8003-8fad-6e88d4e05175
Maar gebruik maken van de totp app die vrijwel zeker al op uw smartphone staat kan ook natuurlijk.

lenwar

Beveiliging en antivirus

@telenut • 14 februari 2025 10:00

De werkgever ‘moet’ niets qua koffie natuurlijk, maar op veel kantoren in Nederland wordt koffie door de werkgever verstrekt.

TOTP is inderdaad een shared secret (beide kanten hebben dezelfde string en doen dezelfde berekening. Dit is tegelijk de zwakte van het mechanisme voor zaken die een hoge mate van veiligheid believen.) Hoe @fRiEtJeSaTe het beschrijft is dat de werkgever verwacht dat de werknemers op hun privé-telefoon een TOTP-app installeren. Daar heb ik, op meerdere vlakken, wel een mening over. 😊(zowel vanuit het perspectief van de werknemer als de werkgever)

Nou weten we natuurlijk niet waar die voor gebruikt wordt, maar als men daadwerkelijk op hun pc moet inloggen met TOTP, dan heb je minimaal een ander apparaat nodig op het moment van inloggen.

Als het voor iets anders, dan kun je ook prima die TOTP op de computer zelf laten doen.

PomPomPom @telenut • 14 februari 2025 12:17

Dit gaat natuurlijk om 'wat is nog redelijk?'. En dat zal per persoon verschillen. Iemand die zijn telefoon gebruikt voor bankieren heeft er ook al beveiliging op. Gebruik je je telefoon vooral om foto's van je kind mee te maken dan wil je geen werk-software erop die je extra moet beveiligen.

Tot ik parental software moest installeren op mijn telefoon om tijdslimieten in te kunnen stellen, had ik geen beveiliging op mijn telefoon. Het was een camera waar ik ook wel eens mee appte.
Consequentie was dat inloggen met token (bij externe partijen) veel tijd kostte: instellen, inloggen, verwijderen van telefoon. Bij de volgende login weer.

mjl @fRiEtJeSaTe • 13 februari 2025 23:55

Als je dat niet wilt verschaffen neem je cyber security niet serieus. Gewoon je medewerkers vragen of ze een token op hun privé toestel willen installeren en als ze dat bezwaarlijk vinden geef je ze een key of een goedkope Android (wel een relatief nieuwe want de telefoon moet wel gemanaged en gepatcht kunnen worden).

En 2FA via SMS is ook niet meer van deze tijd tenslotte.

William_H @fRiEtJeSaTe • 14 februari 2025 04:46

Als jij denkt dat een telefoon en abonnement regelen voor alle medewerkers, zodat ze 1 TOTP code kunnen genereren, een juiste verhouding is, dan heb je duidelijk geen ervaring binnen mkb.

Uhm, ja dit gebeurt gewoon.

Zoop @fRiEtJeSaTe • 14 februari 2025 09:22

Eh, Telefoon en abbo regelen voor je werknemers is het minimale wat je kan doen. Als je daar al op loopt te beknibbelen heb je geen recht van spreken om te mekkeren over cybersecurity. Letterlijk elk fatsoenlijk MKB bedrijf regelt een telefoon voor je (wat zijn de kosten daar nou van? peanuts) zodat je niet met dit soort spul op je prive telefoon hoeft te hannesen. Krijg gewoon een vooringestelde telefoon waarvan de werknemer hem alleen maar in gebruik hoeft te nemen en zelfs niets hoeft/kan in stellen. Is er iets mis mee, dan lever je die telefoon in bij de TD en fixxen ze em voor je (eventueel leentoestel in tussentijd). Dat ga je toch niet met je privespullen doen?

Dat je dit wel verwacht van werknemers (en er een heel klaag betoog overhoud) vind ik niet bepaald professioneel klinken.

Thuiswerken scheelt iedereen ontzettend veel geld, ook de werkgever die minder/geen koffie en automaten hoeft te regelen. Dat je dat vergoed krijgt als je niet op kantoor bent is daarom echt totaal zo gek niet.

Als ik jouw een opdracht geeft en je geeft mij een ultimatum, doe het zoals jij wilt of zet een vinkje dat je nergens verantwoordelijk voor bent? Sorry hoor, dan ga ik iemand anders zoeken die niet zo arrogant doet.

[Reactie gewijzigd door Zoop op 14 februari 2025 09:42]

Cyberpuppy @Zoop • 14 februari 2025 12:14

Probleem in de IT is dat je als medewerker links- of rechtsom opdraait voor de problemen die ontstaand. Dus ja, soms geef je tegengas. Vooral omdat het weer jouw nacht/avond/weekend is die er aan gaat. Men verwacht dat je de boel up- en running en ook nog veilig houdt, maar tegelijk wordt je langs alle kanten in je voet geschoten.

-Zet RDP maar open richting internet met een domain admin account en wachtwoord Welkom123
-Serverruimte zonder koeling, ja joh. Zet die servers maar aan
-Directie is met hun eigen account domain admin. Niks aan de hand, kan toch niet mis gaan
-Geen probleem om een patch voor een kritisch lek dat in jouw omgeving niet speelt even uit te rollen op 1200 servers. Aansluitend aan je dienst. 's ochtends dan wel op kantoor mogen uitleggen waarom je niet om 9 uur op kantoor was (na een dienst van 18 uur)

De lijst is nog veel langer, maar het geeft een inzicht. Dus ik als IT-er begrijp wel waarom iemand dit ultimatum zou stellen. Hij geeft zelf ook al aan dat hij echt wel meewerkt, maar dit is wel een heel duidelijk signaal. Dit heeft helemaal niks met arrogantie te maken.

Zoop @Cyberpuppy • 14 februari 2025 12:44

Ik zit in dezelfde wereld, dus ik ken het maar al te goed. En ja, mensen zijn idioten.

Feit blijft wel dat het je werk is, en niet het werk van die menen die je de schuld loopt te geven. Kan je allerlei verwachtingen en eisen hebben van die mensen, maar dat is niet waar je betaald voor wordt. Ook niet voor het opvoeden van die mensen.

Men verwacht dat je de boel up- en running en ook nog veilig houdt, maar tegelijk wordt je langs alle kanten in je voet geschoten.

Dat is dan ook gewoon je werk!
Heel erg naar dat je voor lullige dingen buiten reguliere werktijd lastig gevallen wordt. Maar ik neem aan dat je er gewoon betaald voor krijgt, dus heb je niks te mekkeren. Als je dat vervelend vind, moet je wellicht ander werk gaan zoeken.

En met van die ultimatums, sorry hoor, zo werkt de echte wereld gewoon echt niet. Als iemand zoiets flikt, dan wordt er gewoon iemand anders gezocht die het werk gewoon wil doen waar ze betaald voor krijgen en hoeft dan ook niet meer terug te komen voor ander werk.

Dat je wilt adviseren tegen de aanpak en alles, prima. Je kan dan ook zeggen dat je onder die voorwaarden het werk niet kan accepteren (al een hele andere boodschap dan een vinkje zetten dat je dan niet verantwoordelijk zou zijn). Heeft absoluut alles met arrogantie te maken, want zoiets flik je gewoon niet.

Cyberpuppy @Zoop • 14 februari 2025 17:30

Ik denk dat het heel veel uit maakt hoe je de boodschap brengt. Zelf heb ik letterlijk 1 keer een formulier meegenomen naar een klant. Niet zozeer als ultimatum, maar wel een hele duidelijke onderstreping van mijn punt dat hetgeen hij wilde een direct gevaar vormde voor de IT-omgeving. En ja, ik (wij) wordt ook betaald om de IT in de lucht te houden. Dan mogen we zeker onze stem laten horen als dit ergens door in gevaar komt.

Verder heb ik niet zoveel met managers. Ze mogen best mijn mening negeren, maar dan ook grote jongens zijn en gewoon op tijd naar huis en zonder overuren de shit oplossen. Duurt zolang als het duurt. Dan sta je tenminste achter je beslissingen. In de praktijk is het zo dat ik mijn mond moet houden en mijn gezin maar weer achter moet laten vanwege soms maffe keuzes. Voor een deel is dit zoals het is, maar als ik het kan voorkomen dan zal ik dat zeker proberen.

Ed Vertijsment @Danny Phantom • 13 februari 2025 22:42

Ik snap je punt maar ik vind ook dat je als werkgever mag zeggen dat je dan niet werkgerelateerde informatie op je privé tegen mag hebben of via de vereiste protocollen.

Ik vind het ook niet gek om voorwaarden aan je privé thuiswerkplek te stellen of je welkom te heten op kantoor.

kozue @fRiEtJeSaTe • 14 februari 2025 07:30

Vind je jezelf nou ook niet een beetje overdrijven? Jij als werkgever hebt echt nul komma niks te zeggen over de prive spullen van een werknemer. Net zoals jij niets mag bepalen over hun huis, auto of andere grote zaken, heb je ook niks te vertellen over kleine dingen als hun telefoon, wat ze op TV kijken of het merk koffie wat ze in huis halen.

Je doet net alsof het hebben van een telefoon jou rechten geeft, en daar zit je helemaal mis. Een telefoon is niets anders dan welk eigendom dan ook. Als iemand vrijwillig z’n telefoon kreupel wil maken door er allemaal bedrijfstroep op te zetten met bijbehorende ongewenste policies en admin rechten, heb je geluk. Zo niet, is het jou taak als werkgever om ze te voorzien in de spullen die ze nodig hebben om hun werk uit te kunnen voeren. Zo heb ik bv een werklaptop van de zaak. Dat heb ik nodig, anders kan ik mijn werk niet uitvoeren. Of vind je dat medewerkers ook maar hun eigen laptop moeten kopen? Als jij als policy hebt dat medewerkers ergens in moeten loggen met een TOTP app, dan moet je ook in de hardware voorzien als ze die niet hebben of niet bereid zijn hun huidige beschikbaar te stellen. Volgens jouw logica moeten taxi chauffeurs ook maar hun eigen auto meenemen om in te rijden, want een hoop mensen hebben er toch al een?

Ik heb overigens 0 werk gerelateerde zaken op m’n telefoon (afgezien van wat contacten in m’n adresboek in geval van nood). Ook geen mail of chat. Voor mijn werk (IT) is een telefoon geen onderdeel. Mocht dat ooit veranderen mogen ze mij zelf een telefoon leveren, want ik ga nooit iemand remote toegang geven tot mijn eigen zelf betaalde hardware. En dat kan dan ook nog eens geen Android wezen want de meeste Google troep staat hier thuis dicht op de router (en gaat ook niet voor hun open: mijn netwerk, mijn regels). Maar dat zal nooit een probleem worden, want mijn werkgever weet wél het verschil tussen prive spullen en zakelijke spullen. Je zou er goed aan doen daar ook eens een beter onderscheid in aan te brengen, want na een paar van jouw reacties gelezen te hebben weet ik al dat ik nooit voor jou zou willen werken.

CamelKnight @kozue • 14 februari 2025 09:53

Mee eens. Bij ons heeft men al lange tijd de keuze tussen een eigen telefoon of een telefoon van de zaak. Dat is dan wel een goedkope Android (Samsung Galaxy A reeks) maar je kunt er mee bellen/gebeld worden, appen, inloggen via MFA, mailen en Teamsen.
Voorheen gebruikte ik daar mijn eigen telefoon voor. Die is immers beter dan de werktelefoon. Maar toen de policy werd aangepast en je toegang moest geven tot je privé telefoon en ze rechten moest geven om je telefoon te wipen (bij diefstal of verlies), was voor mij de keuze snel gemaakt: kom maar op met die werktelefoon.
Sinds kort hebben we de mogelijkheid om zelf een telefoon uit te kiezen, eventueel met bijbetaling. Daardoor kan men toch die duurdere Samsung of iPhone nemen. Maar natuurlijk wel onder voorwaarde dat ze die rechten behouden om je data te wipen.
Ondanks dat je tegenwoordig prima een werkprofiel kunt toevoegen op je telefoon, denk ik dat ik toch maar met twee telefoons blijf lopen. Niet het meest energiezuinig of milieuvriendelijkst, maar wel beter voor mijn gemoedsrust.

supersnathan94

@fRiEtJeSaTe • 14 februari 2025 16:35

Mogen we dan asjeblieft verwachten dat je een extra sleutel toevoegt aan een authenticator app die je toch al hebt…

Nee. Want laten we heel eerlijk zijn, met een MS account kun je alleen nog maar de MS auth app gebruiken, Prima authenticator app die ik ook al jaren gebruik, maar management van je tokens is erg lastig. Na X klanten heb ik weet niet hoeveel tokens waar ik niet even makkelijk een notitie of groep aan kan hangen.
Andere authenticators (waar je wel een QR kunt scannen) worden slecht ondersteund, want die geven niet de mogelijkheid om zo'n code challenge te doen (ipv 6 cijfers TOTP). Dus toevallig heb ik deze app zelf omdat ik ooit 18 jaar geleden hotmail heb gekozen als primary mail, maar anders had ik die dus ook niet gehad.

En ja ik weet dat er ook van die mfa token dingen zijn. Maar moeten we dat nu allemaal gaan optuigen omdat jij te principieel bent om een qr-code te scannen?

Nee, Mij van een beveiligd en enrolled toestel voorzien waar ik alleen de zakelijke dingen op doe is ook prima, zorg ik er voor dat dat ding netjes gebruikt wordt en er geen privé zaken mee gebeuren. Mag je helemaal dichttimmeren zoals je zelf wil, apparaat komt niet op Wifi netwerken anders dan die van werk. enz. enz.

Maakt jouw leven dan ook een stuk makkelijker.

oef! @Danny Phantom • 13 februari 2025 21:38

Diezelfde werkgever wordt door steeds meer wetten verplicht om ervoor te zorgen dat zijn IT veilig is en kan daar binnenkort zelfs persoonlijk aansprakelijk voor worden gesteld.

Audits zijn nog een mooie, onveilige shit gaat niet vliegen.

Danny Phantom @oef! • 13 februari 2025 21:44

Ja, lijkt me niet meer dan logisch. Maar dan zijn er alsnog 2 andere oplossingen waarbij er geen spullen van de werkgever op jou prive eigendommen komen te staan. Zoals een hardware token of een werktelefoon

ibmpc @Danny Phantom • 13 februari 2025 21:08

Het verplichten van push-MFA op een privetelefoon is controversieel. Echter, een werkgever mag wel eisen dat je een MFA/TOTP opslaat. Hoe je dat regelt, moet je zelf weten en daar hoeft de werkgever niet in te voorzien. Het mag worden verwacht dat een medewerker de TOTP sleutel zelf ergens opslaat, net zoals dat zij de kantoorsleutel ergens opslaan. Ik vind het altijd zo grappig als medewerkers weigeren de TOTP sleutel ergens op te slaan, maar vervolgens wel de kantoorsleutel aan hun prive sleutelbos hangen.

Als push-MFA wordt verplicht, dan kun je wel eisen dat de werkgever daarin moet voorzien. Maar dan kun je ook gewoon een hardwaresleutel verstrekken. Veel beter.

[Reactie gewijzigd door ibmpc op 13 februari 2025 21:09]

Blokker_1999

Hackers
Hack
Beveiliging en antivirus

@ibmpc • 14 februari 2025 07:39

En wij zijn recent net weer een voorbeeld tegengekomen van wat er kan gebeuren als mensen vrij zijn om te kiezen hoe ze het doen. 1 van onze leveranciers heeft toegang, via MFA, tot 1 van onze systemen. In een call meld deze ineens dat er geen MFA is volgens hem. Wat blijkt na wat heen en weer gemail tussen mezelf, die leverancier en de support van het product? Onze leverancier had het MFA token gewoon opgeslagen in dezelfde wachtwoordmanager als het wachtwoord voor die applicatie.

Byebye MFA

En daar kom je dan achter omdat van een collega van die leverencier gehacked is geweest waardoor de logins die zij hadden voor al hun klanten gewoon op straat liggen.

ibmpc @Blokker_1999 • 14 februari 2025 07:55

Wij hebben best veel aanwas van nieuwe klanten. Elke keer is het helaas puinruimen omdat ze dachten dat MFA voldoende was, maar door evilginx toch zijn gehackt. Zodoende komen ze bij ons. TOTP is hartstikke kwetsbaar. Ja, de TOTP in een andere wachtwoordmanager opslaan is absoluut een minimale beveiligingsinspanning, maar helaas is het in de praktijk niet voldoende.

Wij zitten met hetzelfde probleem. Soms is er nu eenmaal een shared account voor een dienst (bijv. een domeinhoster). Soms kun je een passkey instellen via je wachtwoordmanager. Dan kun je gelukkig device compliance toepassen zodat die passkey alleen kan worden gebruikt vanaf een company device. Ik heb inmiddels een (gezonde) angst voor TOTP of basic MFA. Gelukkig komen er alternatieven, en gelukkig kunnen passkeys wel enigszins een shared account beveiligen. Soms kun je helaas geen named accounts toepassen.

kozue @ibmpc • 14 februari 2025 07:43

Ik vind het altijd zo grappig als medewerkers weigeren de TOTP sleutel ergens op te slaan, maar vervolgens wel de kantoorsleutel aan hun prive sleutelbos hangen.

Vind ik niet. Een fysieke sleutel aan een sleutelbos is in het ergste geval een stukje extra gewicht. Het is gewoon alleen aanwezig, je hebt er geen last van.
Kom je in de digitale wereld wordt alles ineens lastig. Neem iets simpels als email. Gewoon wat mails ontvangen, hoe moeilijk kan het wezen? Maar niet bij Microsoft. Daar krijg je niet alleen de mail maar ook gelijk allemaal policies en remote toegang bij. Op telefoons wordt alles door elkaar beïnvloed, en er zijn genoeg mensen die geen gerommel van buitenaf op hun apparaat willen. Vooral die security troep is dramatisch als het aankomt op rommelen met zaken waar ze vanaf moeten blijven. Dus ik vind het helemaal terecht als iemand geen werkgerelateerde tokens of apps op z’n telefoon wil. Ik heb ze zelf ook gescheiden. MFA tokens voor m’n werk zitten op een applicatie op m’n werklaptop, niet op een telefoon.

supersnathan94

@kozue • 14 februari 2025 16:42

Maar niet bij Microsoft. Daar krijg je niet alleen de mail maar ook gelijk allemaal policies en remote toegang bij.

Ik mag van een klant niet op een apparaat inloggen op Teams of Outlook zonder dat ie in Intune enrolled is. Helemaal prima, maar je kunt een device niet twee keer enrollen op verschillende servers (want twee bedrijven). Dus heb ik geen teams op dat device. Zelfde voor e-mail. Opzich terecht he, prima policy.

Maar ik mag wel gewoon in outlook web en teams web, dus het enige verschil is dat ik niet de wrapper mag gebruiken die alsnog de webapp ophaalt, want meer dan dat is het niet. En daar kan de klant niks aan veranderen, want de web app mag je altijd gebruiken.

Dus als ik zo'n app gebruik die al die dingen bundelt en dat je dan soort van connectors kunt gebruiken, dan werkt dat gewoon prima, want het is een verkapte browser window stiekem.

Maar niet bij Microsoft.

Hoe vaak dit wel niet een punt van frustratie is...

telenut @ibmpc • 14 februari 2025 09:31

Ik heb de indruk dat er steeds meer dom volk zit bij de comments hier op tweakers....als ik de beoordelingen bekijk. beter gewoon geen moeite meer doen om te reageren denk ik :-)

supersnathan94

@ibmpc • 14 februari 2025 16:38

Microsoft ondersteund bij EntraID volgens mij al jaren geen TOTP only meer, Dat zijn push based notifications en dan moet je een code invullen die je op het andere device te zien krijgt. Dit kun je dus veelal ook alleen maar met MS authenticator doen en verder niet.

jerisson @Danny Phantom • 13 februari 2025 23:28

Om maar een voorbeeld te noemen
https://gathering.tweaker...message/54849969#54849969
"Als je bedrijfsmail op je privé telefoon wilt zullen er ook beperkingen worden ingesteld om data verlies te voorkomen. Dus navragen zoals MAX3400 al aangaf is het beste.

Bij mijn werkgever dwingen we (of het nu een privé toestel is of van de zaak) een password af, mag het toestel niet geroot zijn, encrypten het toestel en hebben de mogelijkheid om op afstand het toestel te wissen (alles of alleen werk gerelateerde data) als dit nodig is (verlies/diefstal van het toestel). Wat je er verder mee doet laten we vrij en we kijken al helemaal niet wat je er verder mee uitspookt "

Ik snap dat je hierop tegen bent. Destijds heb ik omwille van deze reden de koppeling met mijn werkaccount verbroken. Het feit dat het vertrouwen in onze IT-dienst redelijk laag was - en nog steeds is - hielp bij die keuze (laten we stellen dat ze niet met hun eigen tools overweg kunnen, niet weten dat ze zelf systemen opgezet hebben om wachtwoorden te sync'en met andere services, en al eens iets per ongeluk in de live-omgeving doen dat mis gaat). Maar de thread waarnaar je verwijst is reeds van 2018.

Ondertussen hebben de meeste Androidtoestellen wel een mogelijkheid om een werkprofiel op te zetten dat volledig gescheiden is van het privéprofiel. Sinds een tijdje heb ik dan ook dat werkprofiel waarvan ik weet dat IT er niet buiten kan: ze kunnen hoogstens aan de bestanden in dat profiel, en ze kunnen enkel het profiel wipen (althans in theorie - volgens Google en Samsung). Zelfs zonder werkprofiel zou enkel het gebruik van een authenticatieapp geen probleem zijn, omdat dit gewoon dat is: een eenvoudige app zonder speciale rechten.

Ik heb ook geen nood aan een smartphone van het werk: één zulk onding meedragen is al meer dan genoeg. Maar goed, dat is mijn mening en ik begrijp dat sommigen dat liever fysiek gescheiden houden.

Mijn werkgever kan ons niet van een werktoestel voorzien omwille van bepaalde regels, echter krijgen wij sinds covid een maandelijkse "digitalisatievergoeding" van +-20€: dus iemand die echt een afzonderlijk toestel wilt kan deze vergoeding daarvoor gebruiken om een goedkoop toestel aan te schaffen.

William_H @jerisson • 14 februari 2025 04:49

Nee hoor, als je een telefoon via Intune blockt, kan je ook niet meer bij je privé profiel. Privé - Werk profiel heeft alleen met scheiding van data te maken, niet met beheer en locken/wissen.

[Reactie gewijzigd door William_H op 14 februari 2025 04:50]

jerisson @William_H • 14 februari 2025 06:54

Bij het wipen van een privédevice wordt enkel het werkprofiel en geassocieerde data gewiped. Dus ook dat is gescheiden.

"The user’s work profile is removed, which includes the work account and all apps and data associated with it.

Personal data and apps remain on the device."
https://support.google.co...%20work,on%20the%20device.

William_H @jerisson • 14 februari 2025 09:15

Ah, ik had het over een werktelefoon met een scheiding van werk-prive profiel, ingerold vanuit Intune en/of MDM van Samsung (want meest populair). Daarbij wordt dus wel de hele telefoon gewipet of gelocked.
Wist niet dat dit met privé telefoons anders gaat.

Daar losstaand van, je moet het niet willen hoor dat je privé telefoon gebruikt wordt voor werk.kan je in het weekend en vakantie nooit eens rust hebben.

mjl @jerisson • 13 februari 2025 23:58

Wat voor regels beperken het verschaffen van een werk telefoon?

jerisson @mjl • 14 februari 2025 07:05

Publieke sector in België. De exacte regels ken ik niet, maar i.t.t. de privé zijn er redelijk wat beperkingen m.b.t. lonen en "voordelen".

mjl @jerisson • 14 februari 2025 08:59

Ja dat inderdaad, in NL krijg je de telefoon in bruikleen, net als een laptop van de zaak bijv. en dat mag dan nog net. Kado krijgen is inderdaad niet toegestaan (zelf kopen en declareren bij ons op het bedrijf bijv ook niet), dat is verkapt loon en dat is beperkt onbelast (en dat gaat op aan kerstbonus e.d.).

JasperE

@Danny Phantom • 14 februari 2025 09:26

Ik begrijp de insteek maar vind het ook een glijdende schaal: moet de werkgever dan ook voorzien in een telefoonnummer om incidenteel bereikbaar te zijn, een fiets en/of auto voor alle medewerkers om op het werk te kunnen komen, een winterjas om de koude temperatuur te trotseren om op je werk te komen, en een internetvergoeding om thuis te werken?

Microsoft heeft de Authenticator app en haar apps zoals Outlook specifiek ontworpen zodat er met application protection profiles werkgeversbeheer mogelijk is op alleen de werkgevers data. Dit geeft systeembeheer geen enkele toegang tot andere data dan de werkgevers data (zoals dat bij mdm wel het geval is). Dit is specifiek bedacht om BYOD mogelijk te maken. Google maar eens op Intune application protection profiles.

Ik vind het niet onredelijk om de MFA app als voorwaarde te stellen om thuis of op afstand te kunnen werken, en alle gebruikers die dat niet willen te vragen dan maar op de zaak te komen (ip restrictie op 365 login).

Yubikeys zijn natuurlijk een alternatief maar als puntje uiteindelijk bij paaltje komt zijn er weinig tot geen medewerkers die een extra sleutelhanger kiezen als je uitlegt wat de functionaliteit van die MFA app eigenlijk inhoudt en waarom het tegenwoordig helaas nodig is.

[Reactie gewijzigd door JasperE op 14 februari 2025 09:32]

Zoop @JasperE • 14 februari 2025 09:56

Ik begrijp de insteek maar vind het ook een glijdende schaal: moet de werkgever dan ook voorzien in een telefoonnummer om incidenteel bereikbaar te zijn, een fiets en/of auto voor alle medewerkers om op het werk te kunnen komen, een winterjas om de koude temperatuur te trotseren om op je werk te komen, en een internetvergoeding om thuis te werken?

Op de winterjas na, ja, ik heb dat alles bij meer dan 1 werkgever gehad. Zo gek is dat dus niet. En een werktelefoon is toch wel een erg minieme investering van het bedrijf waar je voor werkt, dus als daar op beknibbelt wordt en verwacht wordt dat je allerlei shit op je prive telefoon gaat zetten? Ik zou daar niet mee akkoord gaan in ieder geval.

Als je als werkgever eisen stelt over de apparatuur en software die je werknemers gebruiken (wat geheel logisch is vanwege cyber security) dan die je dat als werkgever te leveren, punt.

supersnathan94

@JasperE • 14 februari 2025 16:46

Ik begrijp de insteek maar vind het ook een glijdende schaal: moet de werkgever dan ook voorzien in een telefoonnummer om incidenteel bereikbaar te zijn, een fiets en/of auto voor alle medewerkers om op het werk te kunnen komen, een winterjas om de koude temperatuur te trotseren om op je werk te komen, en een internetvergoeding om thuis te werken?

... ja. Op de winterjas na, dit gebeurt. Fietsplan, Leaseauto, Thuiswerkvergoeding, Telefoon van de zaak.

Heel eerlijk, ik heb ook gewoon bedrijfskleding (goeie truien) die ik praktisch altijd draag. Vergelijkbaar met een winterjas.

sig69 @Danny Phantom • 14 februari 2025 02:02

Ach ja daarom heb ik al jaren geen werk email meer op mijn telefoon. En het is heerlijk! Als de hele zooi omvalt lees ik dat de volgende ochtend wel.

robbvdb @fRiEtJeSaTe • 13 februari 2025 21:09

Ik denk dat er dan bij jullie zaken op de privé telefoon draaien voor het werk. Dat moet je al niet willen en vice versa.

Geen flauwekul op de werktelefoon (facebooken, privé whats-appen en weet ik wat voor messengers allemaal, gamen, marktplaatsen, browsen, porno kijken, enz.). En natuurlijk geen werk op je privé telefoon. Waarom zou je ook?

Danny Phantom @robbvdb • 13 februari 2025 21:46

Zeker als je bij de overheid werkt, want je telefoon kan dan als het tegenzit in beslag genomen worden om een WOB verzoek oid

https://www.raadvanstate.nl/@114494/sms-jes-whatsapp/

batjes @fRiEtJeSaTe • 14 februari 2025 08:40

Oeh die ken ik. Of van die leveranciers die om user rechten vragen ipv api rechten en of wij als IT leverancier dit maar even goed moeten keuren.... Nope. Gewoon doodleuk full access krijgen tot de tenant en dat normaal vinden.

Men snapt niet helemaal dat iemand admin rechten geven in feite gelijk is aan iemand de loper geven van je toko.

Over MFA hoor ik mensen soms wat zuchten en steunen, maar is al sinds een paar jaar redelijk geaccepteerd onder het gross van de mensen. Probleem met MFA's is, een werkgever mag het niet af dwingen op privé toestellen, terwijl dit vaker wel dan niet wel doodleuk van mensen verwacht wordt.

Overigens ben ik gister nog doodleuk bezig geweest met een gehacked bedrijf waar overal MFA netjes ingesteld stond, want SSO sessies zijn te hijacken. Kun je heel leuk MFA hebben, het beschermt je in de praktijk eigenlijk nauwelijks.

supersnathan94

@batjes • 14 februari 2025 16:49

SSO sessies korter instellen helpt daar wel bij, maar het moet ook niet te ver gaan. Sommigen hebben een SSO TTL van 6 uur, dan moet je dus net aan het einde van de dag nog een keer inloggen.

Of van die "remember me" vinkjes die dan niet werken. Ook frustratie waardig.

devilkin @fRiEtJeSaTe • 14 februari 2025 07:51

Precies de reden dat niemand in ons bedrijf lokale admin rechten krijgt behalve de IT-ers. Gebruikers zijn als het op IT aankomt gewoon dom.

Zelfs je IT'ers gaan fouten maken en krijgen wat mij betreft geen standaard admin rechten, en kunnen enkel een escalatie doen naar een gebruiker met hogere rechten.

Standaard is iedereen "user", daarmee basta. IT speciaal behandelen gaat op langere tijd zich wreken.

TJDaMan @devilkin • 14 februari 2025 10:01

Klopt. UAC met elevation voor lokale zaken, enkel via AD groepen mogelijk. Geen lokale admins "op naam" in "administrators" groep. Audit op elevation tickets.

Voor AAD en Azure zaken: PIM op alles wat boven standaard Reader staat.

Voor zaken die admin rechten nodig hebben: aparte admin accounts met andere pw hash (audit en response). Voor cloud zaken: aparte cloud admin accounts (PIM) zonder associated lokale AD profiles of mailbox etc..

Hou het gewoon "apart", en de impact van een leak is al een heel stuk minder groot.

supersnathan94

@TJDaMan • 14 februari 2025 16:50

(PIM)

Wie?

Is dat net zoiets als Privileged Access Management (PAM)?

Of kunnen we volgend jaar ook nog PET verwachten en dan PIM PAM PET gaan spelen?

Frame164 @fRiEtJeSaTe • 14 februari 2025 08:46

Jij klinkt als zo’n typische sysadmin die denkt dat het bedrijf om IT draait en niet door heeft dat jullie een dienst verlenen aan de organisatie. En privé telefoons moeten gebruiken voor werk? Wat is dat voor kruideniersbedrijf?

fRiEtJeSaTe @Frame164 • 14 februari 2025 08:57

Jij klinkt als zo’n typische gebruiker die verwacht dat IT in z’n eentje de toko mag beschermen, terwijl gebruikers aan alle kanten gaten proberen te prikken in de omgeving. Welkom in 2025. Niet gehackt worden is de verantwoordelijkheid van ons allemaal.

Zoop @fRiEtJeSaTe • 14 februari 2025 09:51

Jij wordt er echter voor betaald. Het staat in je taakomschrijving. Bij hoeveel zou het in hun omschrijving staan dat ze geleerd en op de hoogte moeten zijn van cybersecurity? Zelfs op hooggeplaatste posities wordt dat amper ge-eist. Dus nee, dit is houw verantwoordelijkheid, jij wordt er voor betaald. Laat een gebruiker door een domme actie een hacker op het netwerk, is dat zijn verantwoordelijkheid? Zeker niet, nog steeds de jouwe als IT-er. Tenzij er opzet in het spel is, kan je die werknemer helemaal niks kwalijk nemen. Als iedereen zelf zo cyber security bekwaam zou zijn, dan hebben we nog amper mensen zoals jij nodig.

Dus waarom roep je zo hard om je zelf overbodig te maken? Ik denk dat je je beroep compleet verkeerd inschat. Jij wordt ingehuurd om dit soort zaken te regelen en bij te houden, je dient 0,0 van de werknemers te verwachten, sterker nog, je dient er vanuit te gaan dat het de grootste idioten zijn, en dusdanig te handelen.

Welkom in 2025, nu nog doorhebben wat wie zijn werk daadwerkelijk is.

supersnathan94

@fRiEtJeSaTe • 14 februari 2025 16:52

terwijl gebruikers aan alle kanten gaten proberen te prikken in de omgeving.

Ja, dus dan is het toch juist zaak om zo weinig mogelijk Privé meuk van werknemers in je netwerk te laten? dus gewoon lekker MDM enrolled devices toekennen.

robertlinke @fRiEtJeSaTe • 14 februari 2025 15:00

Waarom ze een mfa sleutel moeten instellen op hun prive telefoon.

lijkt mij niet de bedoeling. als je controle wilt over mensen hun apparaten, dan geef je ze een bedrijfstelefoon.

robbvdb 13 februari 2025 20:46

En al weer een mooie voorbeeld waar de gebruiker de zwakste schakel is

.

Ik mag toch hopen dat mensen met een functie van enig belang niet zomaar powershell commando's uit gaan voeren om een PDF te kunnen lezen?

BytePhantomX @robbvdb • 13 februari 2025 20:59

Waarom is de gebruiker de zwakste schakel? Zorgen dat de gebruiker geen admin rechten heeft, geen powershell commando’s kan uitvoeren en een goede edr oplossing kunnen dit allemaal mitigeren. Lijkt mij dat de windows configuratie eerder de zwakste schakel is.

Daarnaast genoeg detectie mogelijkheden voor een SOC. Bijvoorbeeld een powershell sessie die iets download op een device van een normale gebruiker.

[Reactie gewijzigd door BytePhantomX op 13 februari 2025 21:01]

To_Tall

@BytePhantomX • 13 februari 2025 21:48

Waarom denkt men alleen in Enterprise omgevingen? Een ieder persoon hoog geplaatst of laag geplaatst. Kan doelwit zijn privé

Waarna gevoelige informatie gestolen kan worden privé. Denk dus aan documenten foto’s financiële gevens die je op je privé pc hebt voor privé doeleinden. En dan door groep hackers ook gechanteerd kan worden of indentiteit fraude.

Tja, dan kan je nog zo goede beveiliging zakelijk hebben en dicht getimmerd hebben. Bedrijf is dan niet het doelwit maar de individuen.

Wouterie @To_Tall • 13 februari 2025 22:00

Omdat Microsoft de organisaties waarschuwt en stelt dat Microsoft Defender XDR de bedreiging herkent. Dat is een enterprise defense suite. Het hele schrijven van Microsoft is gericht op enterprise omgeving.

Natuurlijk heb je een punt, alleen lijkt het artikel een probleem aan te kaarten wat toch met name niet in de privésituatie speelt.

batjes @Wouterie • 14 februari 2025 08:42

Zolang Microsoft doodleuk sessie hijacking toestaat waarbij een gebruiker om bv 10:03 inlogt in Nederland en om 10:05 doodleuk inlogt vanuit de VS met dezelfde sessie..

Oh en sessie hijacking bescherming zit in het veel duurdere plan 2.

Ik vind daar wat van.

Wouterie @batjes • 14 februari 2025 09:19

Het idee van een session hijack is juist dat je niet inlogt. Er zijn andere manieren om dat tegen te gaan dan hopen op Microsoft... Maar het is inderdaad wel wonderlijk dat normaal gesproken dat geen enkel probleem is.

batjes @Wouterie • 14 februari 2025 11:02

Toch stond in Entra een 'normale' login poging vanuit de VS met een gehijackte sessie.

Wouterie @batjes • 14 februari 2025 11:25

Een login poging kan vrij makkelijk tegengehouden worden d.m.v. MFA. Een gekaapte sessie zie je niet terug in de login pogingen omdat je daar al voorbij bent, tenzij ze natuurlijk vanuit die sessie proberen verder te komen in de systemen of op andere sites in te loggen. Daarom is het verstandig, maar niet handig, om per site of per omgeving weer opnieuw te moeten inloggen. Dit in tegenstelling tot SSO.

Stel dat je mijn sessie zou kapen dan kun je nu onder mijn account op Tweakers en nog wat andere sites die niet moeilijk doen, maar alles van mijn werk vereist dat je opnieuw inlogt. Zelfs al zou je een actieve sessie kunnen overnemen terwijl ik hier aan het werk ben, dan nog kom je niet verder dan die ene site.

Dat is niet altijd handig. Ik loop regelmatig te mopperen dat ik talloze keren per dag moet inloggen. Maar boefjes hebben dus bar weinig aan mijn sessie en ook niets aan mijn login gegevens.

supersnathan94

@batjes • 14 februari 2025 16:54

Oh en sessie hijacking bescherming zit in het veel duurdere plan 2.

Maar na-fucking-tuurlijk. pfff, dat gaan we toch niet gratis lopen doen.

Justin0017 @BytePhantomX • 13 februari 2025 21:53

Robbvdb heeft hier wel gelijk wat mij betreft. Er zijn altijd gebruikers die om een bedrijfsbeleid proberen heen te werken, door het bijvoorbeeld op prive apparatuur te openen. Daar komen ook de "company policies" memes natuurlijk vandaan.

Helaas hebben ook (lang) niet alle bedrijven, vooral niet in het MKB die veelal het doelwit zijn, de middelen om een SOC dienst af te nemen.

Wouterie @Justin0017 • 13 februari 2025 22:03

MS Intune is niet zo gek duur en lost een hoop van dit soort problemen op. Gewoon keihard een machinebeleid afdwingen, ook op privé apparatuur.

mjl @Wouterie • 13 februari 2025 23:59

Daar is Microsoft hard naar op weg met het opdringen (bijna afdwingen) van het hebben van een Microsoft account indien je Windows gebruikt.

Wouterie @mjl • 14 februari 2025 09:13

Klopt, en daar vind ik wat van.

Teun! @Wouterie • 14 februari 2025 00:18

Het lijkt me niet dat je wat af te dwingen hebt op prive apparatuur als bedrijf zijnde? Of mis ik hier nu gigantisch de boot? Uiteraard is door het bedrijf geleverde hardware eigendom van het bedrijf.

Wouterie @Teun! • 14 februari 2025 09:13

Natuurlijk wel. Het bedrijf blijft eigenaar van de data en is daar verantwoordelijk voor. Als iemand bij die data wil met een privé apparaat dan kun je dat weigeren, toestaan of afdwingen dat het apparaat voldoet aan bepaalde eisen. Als je als werknemer wel bij de bedrijfsdata wil maar van mening bent dat jouw bedrijf niets te zeggen heeft over het apparaat, dan moet je dat niet met een privé apparaat doen.

robertlinke @Wouterie • 14 februari 2025 15:03

precies. dus weiger je dat en lever je een bedrijfstelefoon, die word beheerd door de IT afdeling, en waar de juiste beveiliging al ingesteld is. nooit mensen hun prive apparatuur voor bedrijfsdoeleinden laten gebruiken, tenzij het niet anders kan.

Wouterie @robertlinke • 14 februari 2025 15:05

Dat is sowieso beter. Gedoe met privé apparatuur is gewoon niet de moeite waard.

supersnathan94

@Wouterie • 14 februari 2025 16:58

Absoluut eens. Hoewel ik hier wel 1 uitzondering op heb.

Agenda beheer. Ik heb 1 specifieke app voor mijn agenda, die ook synced met mijn watch en auto, daarvoor kan ik dus geen andere applicatie gebruiken. Ik heb veel met meerdere klanten te werken dus voor allemaal een eigen agenda en app is gewoon totaal niet werkbaar.

Ik hoef ook niet alle details en data in de invite te hebben in die app, maar gewoon tijd, onderwerp, locatie is zat. Dat is geen spannende data en gaat echt helemaal niemand de next big hack mee plegen, maar als ik het wil, moet en zal ik heel de fuckse MS bende er bij krijgen ook, Dus het hele account, mail, notities, contacten alles. En dat mag uiteraard niet, soort van terecht ook op een unmanaged device.

Dus nu loop ik rond met meerdere apparaten en agenda's, die elkaar niet kennen, niet synchroniseren en dus geen weet hebben van elkaars bestaan.

Mega fijn om mee te werken. Zeker als outlook en teams weer eens geen notificaties de deur uit doen.

nzall

@robbvdb • 13 februari 2025 20:54

"van enig belang" iedereen heeft ergens wel een of ander belang. Al was het maar gewoon wachtwoorden, credit card details of cryptomunten. Een beter idee is gewoon ervoor zorgen dat mensen standaard geen PowerShell kunnen opendoen, en daarvoor toestemming nodig hebben van de IT dienst.

Zolderopruiming @nzall • 13 februari 2025 20:57

hmm, en wat adviseer je de mensen thuis, die mogen gewoon geen powershell gebruiken?
hoeveel gebruikers ik tegen kom die als admin hun eigen systeempje met next-next finish geinstalleerd hebben...

BytePhantomX @Zolderopruiming • 13 februari 2025 21:20

Kun je ze dat kwalijk nemen. Niet iedereen is een expert. Met al dit soort misbruik zou je misschien mogen verwachten van Microsoft dat ze een veilig systeem bouwen waar je niet standaard admin bent of zomaar PowerShell kan draaien als admin. Een secure by default implementatie van Windows, waarbij je langs diverse waarschuwingen moet voordat je jouw systeem kwetsbaar maakt.
En software die niet allerlei gekke dingen doet op je systeem die 20 jaar geleden misschien ok was, maar nu niet meer. Of dat ze de standaard defender slim genoeg maken om op zijn minst te waarschuwen voor malafide acties.

Maar nee, het is de gebruiker die meestal al moeite heeft met het übehaupt gebruiken van een computer waar het probleem wordt neergelegd. De meeste hebben geen flauw benul van security en kwetsbaarheden en gaan er (terecht) gewoon vanuit dat zo'n systeem veilig zou moeten zijn. Android, iOS en ChromeBooks hebben dat tenminste een stuk beter ingericht, maar dat weet een gemiddelde gebruiker niet. Hoe vaak ik wel niet te horen kreeg dat internet bankieren op je telefoon zo spannend is en dat ze dat liever doen op een niet up-to-date Windows computer want dat is vast veiliger, geeft al aan dat de 'gemiddelde' gebruiker echt geen weet heeft. En ik kan het ze niet kwalijk nemen.

michelr @BytePhantomX • 13 februari 2025 21:46

dat ze een veilig systeem bouwen waar je niet standaard admin bent

Dat ben je ook niet, maarja, al die elevatie-prompts zijn zo vervelend /s

Zolderopruiming @BytePhantomX • 13 februari 2025 22:22

Ik zal het je nog sterker vertellen; de gemiddelde gebruiker zit helemaal niet te wachten op al die "verbeteringen"en vernieuwing, die wil gewoon lekker freubelen, en wel zonder beperkingen die door software reuzen worden opgelegd

supersnathan94

@Zolderopruiming • 14 februari 2025 17:00

en wat adviseer je de mensen thuis, die mogen gewoon geen powershell gebruiken?

Met een win10/11 HOME versie? Heb je het dan überhaupt nodig? Denk het niet he?

smv @robbvdb • 14 februari 2025 06:54

"hopen" daar gaat het dus fout.

ik mag toch hopen.
ik mag toch verwachten

misschien nog wel meer, maar in die trant gaat het juist al fout.

kuurtjes 13 februari 2025 20:56

Deze werkwijze is trouwens niet origineel of onbekend. Krebs heeft bijvoorbeeld een artikel over een soortgelijke campaign: https://krebsonsecurity.c...hish-has-scary-potential/

iew 14 februari 2025 01:07

Na het lezen van dit artikel moest ik gelijk denken aan de film 'The Bee Keeper'.

ibmpc 13 februari 2025 20:53

In hoeverre helpt Defender ASR hiertegen?

HKLM_ @ibmpc • 13 februari 2025 21:11

Het hangt af van de content die gedownload en execute wordt. Het begint natuurlijk al met dat standaard users powershell als admin niet zouden moeten kunnen starten.

ibmpc @HKLM_ • 13 februari 2025 21:14

Toch kun je zonder adminrechten al behoorlijk veel vind ik, ook in PowerShell. En je kunt als standaard user zonder adminrechten in PowerShell gewoon als jumpbox doorgaan naar andere apparaten in het netwerk. Gelukkig staat ieder netwerk als Public gemarkeerd by default, maar dan moet je in Intune wel de regel om lokale regels te ignoren inschakelen.

supersnathan94

@ibmpc • 14 februari 2025 17:01

gewoon als jumpbox doorgaan naar andere apparaten in het netwerk.

Maar daar heb je toch op netwerk niveau minstens Client isolation voor aan staan?

eheijnen 13 februari 2025 20:47

Kan NK niet in zijn geheel afgekoppeld worden....

William_H @eheijnen • 14 februari 2025 04:51

Oh, jij denkt dat die gasten dat doen vanuit NK ? 😂

robertlinke @William_H • 14 februari 2025 15:06

vaak wel, want de overheids infrastructuur licht er al, en maakt het makkelijker om je werknemers te controleren. en als ze er niet zitten zitten ze vaak in landen als rusland, die het echt geen ene moer uitmaakt wat jij doet zolang het maar geen russische doelwitten zijn

William_H @robertlinke • 14 februari 2025 19:26

Zoals je dus aangeeft, niet alleen van NK.

Er wordt daarnaast computer farms waarbij er remote wordt ingelogd naar bijvoorbeeld de VS, waardoor het lijkt of het verkeer daar vandaan komt, en de hackers daar zitten.

supersnathan94

@eheijnen • 14 februari 2025 17:02

Waarom hebben ze überhaupt een verbinding met het internet? NK is praktisch geïsoleerd op alle fronten. geen enkele inwoner heeft daar een internetverbinding die zomaar even naar de buitenwereld gaat.

robertlinke @supersnathan94 • 14 februari 2025 23:09

voor de meeste normale mensen niet, maar de overheid, hoge militairen en inlichtingendiesnten hebben wel degelijk verbinding naar buiten toe. er liggen kabels naar china en van daar gaat het naar de rest van de wereld

supersnathan94

@robertlinke • 15 februari 2025 01:21

Mja oke, fair, maar dat kan dan via een centraal punt en iets als een VPN naar dat centrale punt. Lijkt me ook logische om dat op een dergelijk manier te doen in een land waar externe verbindingen sowieso al tot een minimum beperkt worden.

Roel1966

13 februari 2025 21:23

Ik weet niet maar mij lijkt toch dat je juist als je niets van pc's af weet dat je dan al zeker niet zoiets als code in PowerShell gaat uitvoeren. Althans een beetje logisch denkend iemand zou dan toch beginnen te vermoeden dat dit niet iets normaals.

0b1 13 februari 2025 21:54

GPO block gebruik cmd, ps, regedit, noem maar op, dit is standaard bij onze klanten voor AD hardening. Willen ze het niet hebben dan moeten ze de risico aanvaarden.

DJMaze 13 februari 2025 21:57

Microsoft waarschuwt op sociale media

Ah dat medium waarvan iedereen constant zegt dat je het niet moet geloven.
Chappeau!

Ik weet niet hoor, maar zolang er nog steeds mensen zijn die zonder licht in de auto of op de fiets rondrijden in het donker en je ze met je groot licht en toeter daarop attendeert en doen alsof jij gek bent, heeft waarschuwen geen enkele zin.

Wordt tijd dat admin rechten op Windows (en elk ander OS) gewoon verboden worden.

[Reactie gewijzigd door DJMaze op 13 februari 2025 21:59]

Teun! @DJMaze • 14 februari 2025 00:21

Lol wtf. Ik wil gewoon rechten hebben op mijn apparatuur. Tenzij er expliciet in de overeenkomst staat dat ik dit huur (en dit zou ik ook ten koste van alles vermijden).
Daarbij een praktische vraag: Zou jij een OS (willen) gebruiken waar je zelf geen software op kan zetten of updaten oid? Hoe zie je dat voor je?

Mbt tot het verkeer (hoewel ongerelateerd) heb je wel gelijk.

[Reactie gewijzigd door Teun! op 14 februari 2025 00:24]

iew @DJMaze • 14 februari 2025 01:19

Ik weet niet hoor, maar zolang er nog steeds mensen zijn die zonder licht in de auto of op de fiets rondrijden in het donker en je ze met je groot licht en toeter daarop attendeert en doen alsof jij gek bent, heeft waarschuwen geen enkele zin.

Ik weet niet hoor, maar ik denk dat de mensen op de fiets die je negeren allang weten dat ze zonder licht rijden, maar wat moeten zij doen dan wanneer dat licht stuk is ?
Accu van fietslichten leeg of batterijen leeg in die fietslichten die je er op en af kan halen (meestal action spul).

Mensen in de auto die zonder licht rijden is een ander verhaal, lijkt me niet dat alle lampen tegelijk stuk gaan, in tegenstelling tot fietsen worden er bij auto's niet zoveel lichten gesloopt, stations en schoolpleinen bijvoorbeeld ?

supersnathan94

@iew • 14 februari 2025 17:05

maar wat moeten zij doen dan wanneer dat licht stuk is ?

Lopen?
met de bus?
Iemand bellen?
Taxi?
Toch wel met de auto?

Laten we iig starten met niet fietsen.

FrostyPeet 13 februari 2025 23:32

Benieuwd hoe microsoft dat weet. Normaal gesproken gaat er geen enkel alarm af als een huis tuin en keuken gebruiker een of andere Teamviewer achtige tool installeert. Als de hackers netjes omgaan met hun RAT dan zal er ook niets raars gemeld worden.

Overigens valt dit in dezelfde categorie als mensen die alles negeren als "de bank" zegt dat ze iets moeten intikken. Al zet je honderd rode schermen met uitroeptekens dan doen ze het nog.

robertlinke @FrostyPeet • 14 februari 2025 15:08

bedrijven die support tickets hebben geopend nadat er dingen kapot gingen in hun omgeving, en microsoft de scripts terugvond

Op dit item kan niet meer gereageerd worden.

Microsoft ontdekt groep die slachtoffers PowerShell-commando's laat uitvoeren

Lees meer

Reacties (103)

Sorteer op:

Weergave: