cj_berlin 1.359 Geschrieben 20. Januar 2024 Melden Teilen Geschrieben 20. Januar 2024 Das ist einmal wieder richtig geiler Stoff: https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/ Klar, böser Nobelium, böse Russen, aber dann kommt's: Zitat the threat actor used a password spray attack to compromise a legacy non-production test tenant account and gain a foothold, and then used the account’s permissions to access a very small percentage of Microsoft corporate email accounts, including members of our senior leadership team and employees in our cybersecurity, legal, and other functions, and exfiltrated some emails and attached documents. Und da kann ich nur kopfschüttelnd sagen: DAFUQ? Darf dort ein Praktikant Berechtigungen an Postfächern von Managern vergeben, und zwar an identitäten außerhalb des Tenants? Solange das so bleibt, ist die ganze "EU Data Boundary"-Diskussion das digitale Papier nicht wert, auf dem sie geführt wird... 2 1 Zitieren Link zu diesem Kommentar
v-rtc 92 Geschrieben 20. Januar 2024 Melden Teilen Geschrieben 20. Januar 2024 (bearbeitet) Verstehe die ganzen Firmen nicht die nun soweit, zum Teil sind, alles an MS Azure „raus“ zu geben… sind alle so naiv? :o( bearbeitet 20. Januar 2024 von v-rtc Komma Zitieren Link zu diesem Kommentar
daabm 1.377 Geschrieben 20. Januar 2024 Melden Teilen Geschrieben 20. Januar 2024 "Legacy non-production test tenant account" mit "permissions to access corporate email accounts" - wo ist das Emoji mit den hochgerollten Fußnägeln? 5 Zitieren Link zu diesem Kommentar
Gulp 269 Geschrieben 22. Januar 2024 Melden Teilen Geschrieben 22. Januar 2024 Wie immer, die schönsten Geschichten schreibt das echte Leben ........ jaja ich werfe ja schon 5 Euro ins Phrasenschwein. Grüsse Gulp 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 22. Januar 2024 Melden Teilen Geschrieben 22. Januar 2024 1 Zitieren Link zu diesem Kommentar
testperson 1.732 Geschrieben 27. Januar 2024 Melden Teilen Geschrieben 27. Januar 2024 Mhhh... Fehlende MFA, Standardpasswort: So lief der Angriff auf die MS-Securityabteilung | heise onlin Zitat ... Aufgrund einer fehlenden Mehrfaktor-Authentifizierung und durch Ausnutzung eines Standard-Passworts ... Erpressung in Südwestfalen: Akira kam mit geratenem Passwort ins kommunale Netz | heise online Zitat ... gelang wohl aufgrund eines schwachen Passworts, fehlender Mehrfaktor-Authentifizierung und einer schlecht gepflegten VPN-Appliance ... 1 Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 27. Januar 2024 Melden Teilen Geschrieben 27. Januar 2024 Das Admin-PW soll lt. diesem Blogpost in einem GPO eingetragen war: https://www.borncity.com/blog/2024/01/26/ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-nachlese-it-forensik-bericht-teil-1/ 1 Zitieren Link zu diesem Kommentar
daabm 1.377 Geschrieben 27. Januar 2024 Melden Teilen Geschrieben 27. Januar 2024 (bearbeitet) Das wäre dann "auf ganzer Linie selbstverschuldet"... Wir haben den Krempel durch Skriptsuche eliminiert in allen GPOs (auch von Kunden), als MS14-025 rauskam. Auch schon wieder 9 Jahre her bearbeitet 27. Januar 2024 von daabm 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 27. Januar 2024 Melden Teilen Geschrieben 27. Januar 2024 (bearbeitet) Richtig da gabs sogar damals ein Tool von darren als das noch nicht groß im Fokus war. Das dürfte inzwischen durch diverse Tools so schnell zu finden sein, dass das echt unklar ist. Erst recht, dass man da auch noch den Domänenadmin eingetragen hat. Aber wenn ich so manchmal Kundenumgebungen sehe… vor 2 Stunden schrieb Sunny61: Das Admin-PW soll lt. diesem Blogpost in einem GPO eingetragen war: Wobei einige Kommentare aber auch arg schwierig zu ertragen sind. ;) bearbeitet 27. Januar 2024 von NorbertFe Zitieren Link zu diesem Kommentar
cj_berlin 1.359 Geschrieben 27. Januar 2024 Autor Melden Teilen Geschrieben 27. Januar 2024 Ich habe das in nahezu jeder Umgebung gesehen, wo ich ein Audit gemacht habe. Richtig erschreckend finde ich halt auch, dass der Kram seit 10 Jahren nicht mehr funktioniert, die Accounts aber immer noch gültig sind. Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 27. Januar 2024 Melden Teilen Geschrieben 27. Januar 2024 Na klar, jedesmal wenn sie das Passwort ändern funktionieren ja die tasks nicht mehr bzw. Das Konto ist dann so schnell gesperrt 😂 Zitieren Link zu diesem Kommentar
cj_berlin 1.359 Geschrieben 27. Januar 2024 Autor Melden Teilen Geschrieben 27. Januar 2024 Aber die Tasks aus der GPP kann es doch auf keinem heute noch supporteten System mehr geben. Das ist vermutlich auch Teil des Problems Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 27. Januar 2024 Melden Teilen Geschrieben 27. Januar 2024 Und man kann’s nur löschen aber nicht ändern. ;) Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 27. Januar 2024 Melden Teilen Geschrieben 27. Januar 2024 vor 55 Minuten schrieb NorbertFe: Wobei einige Kommentare aber auch arg schwierig zu ertragen sind. ;) Jepp, deshalb überfliege ich die meistens auch. ;) vor 19 Minuten schrieb cj_berlin: Aber die Tasks aus der GPP kann es doch auf keinem heute noch supporteten System mehr geben. Es wird aber sicherlich noch sehr viele unsupportete System geben. 1 Zitieren Link zu diesem Kommentar
daabm 1.377 Geschrieben 27. Januar 2024 Melden Teilen Geschrieben 27. Januar 2024 vor 46 Minuten schrieb cj_berlin: Ich habe das in nahezu jeder Umgebung gesehen, wo ich ein Audit gemacht habe. Richtig erschreckend finde ich halt auch, dass der Kram seit 10 Jahren nicht mehr funktioniert, die Accounts aber immer noch gültig sind. Korrektur... AFAIK: Man kann keine PW mehr eintragen im UI. Wenn sie aber drin sind, werden sie weiterhin verarbeitet. Und wenn dann keiner "call to action" ruft, ändert sich halt nix. MS hat damals leider versäumt, nicht nur das UI zu patchen, sondern auch die CSE. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.