cj_berlin 1.408 Geschrieben 20. Januar 2024 Melden Geschrieben 20. Januar 2024 Das ist einmal wieder richtig geiler Stoff: https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/ Klar, böser Nobelium, böse Russen, aber dann kommt's: Zitat the threat actor used a password spray attack to compromise a legacy non-production test tenant account and gain a foothold, and then used the account’s permissions to access a very small percentage of Microsoft corporate email accounts, including members of our senior leadership team and employees in our cybersecurity, legal, and other functions, and exfiltrated some emails and attached documents. Und da kann ich nur kopfschüttelnd sagen: DAFUQ? Darf dort ein Praktikant Berechtigungen an Postfächern von Managern vergeben, und zwar an identitäten außerhalb des Tenants? Solange das so bleibt, ist die ganze "EU Data Boundary"-Diskussion das digitale Papier nicht wert, auf dem sie geführt wird... 2 1 Zitieren
v-rtc 92 Geschrieben 20. Januar 2024 Melden Geschrieben 20. Januar 2024 (bearbeitet) Verstehe die ganzen Firmen nicht die nun soweit, zum Teil sind, alles an MS Azure „raus“ zu geben… sind alle so naiv? :o( bearbeitet 20. Januar 2024 von v-rtc Komma Zitieren
daabm 1.391 Geschrieben 20. Januar 2024 Melden Geschrieben 20. Januar 2024 "Legacy non-production test tenant account" mit "permissions to access corporate email accounts" - wo ist das Emoji mit den hochgerollten Fußnägeln? 5 Zitieren
Gulp 275 Geschrieben 22. Januar 2024 Melden Geschrieben 22. Januar 2024 Wie immer, die schönsten Geschichten schreibt das echte Leben ........ jaja ich werfe ja schon 5 Euro ins Phrasenschwein. Grüsse Gulp 1 Zitieren
testperson 1.761 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 Mhhh... Fehlende MFA, Standardpasswort: So lief der Angriff auf die MS-Securityabteilung | heise onlin Zitat ... Aufgrund einer fehlenden Mehrfaktor-Authentifizierung und durch Ausnutzung eines Standard-Passworts ... Erpressung in Südwestfalen: Akira kam mit geratenem Passwort ins kommunale Netz | heise online Zitat ... gelang wohl aufgrund eines schwachen Passworts, fehlender Mehrfaktor-Authentifizierung und einer schlecht gepflegten VPN-Appliance ... 1 Zitieren
Sunny61 819 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 Das Admin-PW soll lt. diesem Blogpost in einem GPO eingetragen war: https://www.borncity.com/blog/2024/01/26/ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-nachlese-it-forensik-bericht-teil-1/ 1 Zitieren
daabm 1.391 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 (bearbeitet) Das wäre dann "auf ganzer Linie selbstverschuldet"... Wir haben den Krempel durch Skriptsuche eliminiert in allen GPOs (auch von Kunden), als MS14-025 rauskam. Auch schon wieder 9 Jahre her bearbeitet 27. Januar 2024 von daabm 1 Zitieren
NorbertFe 2.175 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 (bearbeitet) Richtig da gabs sogar damals ein Tool von darren als das noch nicht groß im Fokus war. Das dürfte inzwischen durch diverse Tools so schnell zu finden sein, dass das echt unklar ist. Erst recht, dass man da auch noch den Domänenadmin eingetragen hat. Aber wenn ich so manchmal Kundenumgebungen sehe… vor 2 Stunden schrieb Sunny61: Das Admin-PW soll lt. diesem Blogpost in einem GPO eingetragen war: Wobei einige Kommentare aber auch arg schwierig zu ertragen sind. ;) bearbeitet 27. Januar 2024 von NorbertFe Zitieren
cj_berlin 1.408 Geschrieben 27. Januar 2024 Autor Melden Geschrieben 27. Januar 2024 Ich habe das in nahezu jeder Umgebung gesehen, wo ich ein Audit gemacht habe. Richtig erschreckend finde ich halt auch, dass der Kram seit 10 Jahren nicht mehr funktioniert, die Accounts aber immer noch gültig sind. Zitieren
NorbertFe 2.175 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 Na klar, jedesmal wenn sie das Passwort ändern funktionieren ja die tasks nicht mehr bzw. Das Konto ist dann so schnell gesperrt 😂 Zitieren
cj_berlin 1.408 Geschrieben 27. Januar 2024 Autor Melden Geschrieben 27. Januar 2024 Aber die Tasks aus der GPP kann es doch auf keinem heute noch supporteten System mehr geben. Das ist vermutlich auch Teil des Problems Zitieren
NorbertFe 2.175 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 Und man kann’s nur löschen aber nicht ändern. ;) Zitieren
Sunny61 819 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 vor 55 Minuten schrieb NorbertFe: Wobei einige Kommentare aber auch arg schwierig zu ertragen sind. ;) Jepp, deshalb überfliege ich die meistens auch. ;) vor 19 Minuten schrieb cj_berlin: Aber die Tasks aus der GPP kann es doch auf keinem heute noch supporteten System mehr geben. Es wird aber sicherlich noch sehr viele unsupportete System geben. 1 Zitieren
daabm 1.391 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 vor 46 Minuten schrieb cj_berlin: Ich habe das in nahezu jeder Umgebung gesehen, wo ich ein Audit gemacht habe. Richtig erschreckend finde ich halt auch, dass der Kram seit 10 Jahren nicht mehr funktioniert, die Accounts aber immer noch gültig sind. Korrektur... AFAIK: Man kann keine PW mehr eintragen im UI. Wenn sie aber drin sind, werden sie weiterhin verarbeitet. Und wenn dann keiner "call to action" ruft, ändert sich halt nix. MS hat damals leider versäumt, nicht nur das UI zu patchen, sondern auch die CSE. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.