cj_berlin 1.315 Geschrieben 20. Januar Melden Teilen Geschrieben 20. Januar Das ist einmal wieder richtig geiler Stoff: https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/ Klar, böser Nobelium, böse Russen, aber dann kommt's: Zitat the threat actor used a password spray attack to compromise a legacy non-production test tenant account and gain a foothold, and then used the account’s permissions to access a very small percentage of Microsoft corporate email accounts, including members of our senior leadership team and employees in our cybersecurity, legal, and other functions, and exfiltrated some emails and attached documents. Und da kann ich nur kopfschüttelnd sagen: DAFUQ? Darf dort ein Praktikant Berechtigungen an Postfächern von Managern vergeben, und zwar an identitäten außerhalb des Tenants? Solange das so bleibt, ist die ganze "EU Data Boundary"-Diskussion das digitale Papier nicht wert, auf dem sie geführt wird... 2 1 Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 20. Januar Melden Teilen Geschrieben 20. Januar (bearbeitet) Verstehe die ganzen Firmen nicht die nun soweit, zum Teil sind, alles an MS Azure „raus“ zu geben… sind alle so naiv? :o( bearbeitet 20. Januar von v-rtc Komma Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 20. Januar Melden Teilen Geschrieben 20. Januar "Legacy non-production test tenant account" mit "permissions to access corporate email accounts" - wo ist das Emoji mit den hochgerollten Fußnägeln? 5 Zitieren Link zu diesem Kommentar
Gulp 254 Geschrieben 22. Januar Melden Teilen Geschrieben 22. Januar Wie immer, die schönsten Geschichten schreibt das echte Leben ........ jaja ich werfe ja schon 5 Euro ins Phrasenschwein. Grüsse Gulp 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 22. Januar Melden Teilen Geschrieben 22. Januar 1 Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 27. Januar Melden Teilen Geschrieben 27. Januar Mhhh... Fehlende MFA, Standardpasswort: So lief der Angriff auf die MS-Securityabteilung | heise onlin Zitat ... Aufgrund einer fehlenden Mehrfaktor-Authentifizierung und durch Ausnutzung eines Standard-Passworts ... Erpressung in Südwestfalen: Akira kam mit geratenem Passwort ins kommunale Netz | heise online Zitat ... gelang wohl aufgrund eines schwachen Passworts, fehlender Mehrfaktor-Authentifizierung und einer schlecht gepflegten VPN-Appliance ... 1 Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 27. Januar Melden Teilen Geschrieben 27. Januar Das Admin-PW soll lt. diesem Blogpost in einem GPO eingetragen war: https://www.borncity.com/blog/2024/01/26/ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-nachlese-it-forensik-bericht-teil-1/ 1 Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 27. Januar Melden Teilen Geschrieben 27. Januar (bearbeitet) Das wäre dann "auf ganzer Linie selbstverschuldet"... Wir haben den Krempel durch Skriptsuche eliminiert in allen GPOs (auch von Kunden), als MS14-025 rauskam. Auch schon wieder 9 Jahre her bearbeitet 27. Januar von daabm 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 27. Januar Melden Teilen Geschrieben 27. Januar (bearbeitet) Richtig da gabs sogar damals ein Tool von darren als das noch nicht groß im Fokus war. Das dürfte inzwischen durch diverse Tools so schnell zu finden sein, dass das echt unklar ist. Erst recht, dass man da auch noch den Domänenadmin eingetragen hat. Aber wenn ich so manchmal Kundenumgebungen sehe… vor 2 Stunden schrieb Sunny61: Das Admin-PW soll lt. diesem Blogpost in einem GPO eingetragen war: Wobei einige Kommentare aber auch arg schwierig zu ertragen sind. ;) bearbeitet 27. Januar von NorbertFe Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 27. Januar Autor Melden Teilen Geschrieben 27. Januar Ich habe das in nahezu jeder Umgebung gesehen, wo ich ein Audit gemacht habe. Richtig erschreckend finde ich halt auch, dass der Kram seit 10 Jahren nicht mehr funktioniert, die Accounts aber immer noch gültig sind. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 27. Januar Melden Teilen Geschrieben 27. Januar Na klar, jedesmal wenn sie das Passwort ändern funktionieren ja die tasks nicht mehr bzw. Das Konto ist dann so schnell gesperrt 😂 Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 27. Januar Autor Melden Teilen Geschrieben 27. Januar Aber die Tasks aus der GPP kann es doch auf keinem heute noch supporteten System mehr geben. Das ist vermutlich auch Teil des Problems Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 27. Januar Melden Teilen Geschrieben 27. Januar Und man kann’s nur löschen aber nicht ändern. ;) Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 27. Januar Melden Teilen Geschrieben 27. Januar vor 55 Minuten schrieb NorbertFe: Wobei einige Kommentare aber auch arg schwierig zu ertragen sind. ;) Jepp, deshalb überfliege ich die meistens auch. ;) vor 19 Minuten schrieb cj_berlin: Aber die Tasks aus der GPP kann es doch auf keinem heute noch supporteten System mehr geben. Es wird aber sicherlich noch sehr viele unsupportete System geben. 1 Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 27. Januar Melden Teilen Geschrieben 27. Januar vor 46 Minuten schrieb cj_berlin: Ich habe das in nahezu jeder Umgebung gesehen, wo ich ein Audit gemacht habe. Richtig erschreckend finde ich halt auch, dass der Kram seit 10 Jahren nicht mehr funktioniert, die Accounts aber immer noch gültig sind. Korrektur... AFAIK: Man kann keine PW mehr eintragen im UI. Wenn sie aber drin sind, werden sie weiterhin verarbeitet. Und wenn dann keiner "call to action" ruft, ändert sich halt nix. MS hat damals leider versäumt, nicht nur das UI zu patchen, sondern auch die CSE. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.