» »

Vdori v ZDA so potekali tudi prek Microsoftovih partnerjev

Vdori v ZDA so potekali tudi prek Microsoftovih partnerjev

Slo-Tech - Medtem, ko v ZDA počasi odkrivajo vse razsežnosti največjega informacijskega napada zadnjih let na zvezne agencije, infrastrukturo in velika podjetja, so v varnostnem podjetju CrowdStrike razkrili še eno od poti, ki so jo vdiralci vsaj poskušali uporabiti za dostop do notranjih omrežij. Ta vodi prek podjetij, ki v imenu Microsofta prodajajo njihovo programsko opremo. Tudi ta imajo namreč, podobno kot že razkriti SolarWinds, pooblastila za nameščanje in vzdrževanje programske opreme Microsoftovih strank in so zato idealno kritje za nepridiprave.

V primeru napada na CrowdStrike so neznanci poskušali pridobiti dostop do njihove elektronske pošte prek neimenovanega Microsoftovega preprodajalca. Ker pa pri CrowdStrike uporabljajo druge aplikacije Office 365, ne pa tudi elektronske pošte, so dejstvo, da je nekdo poskušal vklopiti pravico do branja pošte, opazili pri Microsoftu. Kjer so menda že pred meseci zaznali nenavadne poizvedbe prek API na njihovem oblačnem računu, ki upravlja licence za MS Office. Pred tednom dni so se sicer pojavila prva opozorila, da so bili za napade morda zlorabljeni tudi Microsoftovi izdelki, vendar je prava potrditev o tem prišla šele pred dnevi, ko so na svojem blogu, povsem na koncu zapisa priznali, da "so napadalci uporabili tudi račune z visokimi privilegiji, kar jim je omogočilo uporabo APIjev ne da bi za to imeli dovoljenje aplikacije." Podobno strategijo je bilo moč opaziti že pred leti pri napadu na ameriškega trgovca Target.
Microsoft je sicer v zadnjem času zaradi številnih napadov prek oblačnih ponudnikov poostril pravila za svoje preprodajalce, med ukrepi je bila tudi uporaba večstopenjske avtentikacije.

Kdo je v ozadju tega dela napadov za zdaj še ni jasno. Nekateri viri, seznanjeni s podrobnostmi preiskave pri CrowdStriku pa poročajo, da gre za iste storilce, kot so tisti, ki so izkoristili popravke Solarwinds, torej hekerje, domnevno povezane z Rusijo.

1 komentar

Val202 ::

Taki in podobni masovni vdori oz. izkoriscanje ranljivosti bodo v prihodnosti stalnica. Se posebno zato, ker se internet, hocemo nocemo, centralizira in ponudniki storitev zelijo, da za administracijo razlicnih produktov razlicnih proizvajalcev uporabljamo kar isto programsko opremo. Ce je pred casom se veljalo, da je za varnost omrezja in sistemov najbolje, da ne uporabljamo vse opreme od istega proizvajalca, s takimi integracijami to seveda vec ne drzi.

Podobno pa trpi varnost tudi na racun enostavnejsega upravljanja sistemov, izgleda programske opreme (ker se design prodaja, ne pa varnost; le-ta se prodaja sele, ko gre vse k hudicu) in predvsem konkurencnosti - ta sili proizvajalce v cimhitrejsi razvoj produktov in implementacijo mnozice funkcionalnosti, ki jih morebiti niti ne potrebujemo, hkrati pa ponujajo moznost izkoriscanja varnostnih lukenj.

Ze pred casom, ko so vdrli v nekaj znanih racunov na Twitterju, se je kasneje izkazalo, da je imela oseba dostop do racuna z visokimi privilegiji (kot v zgornji novici). Dostop do takih racunov bi moral biti se posebej varovan, predvsem pa do takega racuna ne bi smela dostopati le ena oseba brez nadzora ostalih. Leta nazaj je npr. IBM Domino uvedel za kreiranje certifikatov omejen dostop do CA-ja, da si lahko geslo razdelil med vec oseb, in ena sama oseba ni mogla dostopati do CA-ja, brez vednosti druge. Ni slo za 2FA, temvec za MPA (multiple person authentication). Morda kaj takega obstaja tudi v Windows domain okolju, pa ne vem za to.

Najbolj pa me je zadelo vceraj, ko sem (morda celo prvic) prejel spam email, kjer me nek kitajski CEO vabi, da poslujeva, ker sem ocitno tak odlicen poslovni partner. Spraseval sem se od kje neki so dobili moj email, pa sem sel na https://haveibeenpwned.com/ in vpisal svoj email. Kaj odkrijem? Ja, pred nekaj meseci vdor v dve spletni strani na katerih sem bil registriram s tem naslovom. Najbolj presenetljiva zadeva? To, da sem na obeh racun zaprl ze dve leti nazaj. Ocitno je praksa, da kljub brisanju racuna, le-ta ostane v njihovi bazi. Toliko o GDPR-ju in podobnih direktivah.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Vdor SolarWinds: Niso bili le Rusi

Oddelek: Novice / Varnost
227389 (4833) carota
»

Severnokorejski hekerji nad proizvajalce cepiv za Covid-19?

Oddelek: Novice / Varnost
417944 (5457) vostok_1
»

Rusi tudi nad francoske volitve? Vsaka četrta novica o volitvah na Twitterju je lažna (strani: 1 2 )

Oddelek: Novice / Zasebnost
9120393 (17357) Looooooka
»

ZDA in Kitajska s figo v žepu podpisali dogovor o kibernetnem premirju

Oddelek: Novice / Industrijska lastnina
97180 (5244) Markoff
»

Kako je britanski GCHQ vdrl v belgijski Belgacom

Oddelek: Novice / Varnost
3824599 (21337) matijadmin

Več podobnih tem