Microsoft krijgt een sleutelrol in het onderzoek naar het grote hack van overheidsdiensten van de VS eerder deze week. Gekraakte Office 365-accounts en Azure Active Directory staan centraal.
Nadat een buitenlandse mogendheid, naar alle waarschijnlijkheid Rusland, via een gesofisticeerd hack diensten van de Amerikaanse overheid kraakte, staat Microsoft nu in de schijnwerpers. De aanvallers raakten binnen in Office 365-accounts en Azure Active Directory. Op het eerste zicht ligt het zwaartepunt van de beveiligingsproblemen echter niet bij de softwarereus zelf.
Begin deze week raakte bekend dat hackers zich toegang hadden verschaft tot onder andere de mails van de Amerikaanse National Telecommunications and Information Administration (NTIA). Ze konden het mailverkeer maandenlang volgen. Daartoe verschaften ze zich toegang tot verschillende aspecten van het Microsoft-platform.
SolarWinds
De aanvallers gebruikten erg gesofisticeerd technieken en zouden zich in eerste instantie toegang hebben verschaft tot de systemen van hun slachtoffers via een supply chain-aanval bij SolarWinds. SolarWinds is een IT-managementsbedrijf met heel wat gevoelige overheidsklanten in de VS en wereldwijd. De aanvallers raakten binnen bij het bedrijf en injecteerden daar achterpoortjes in legitieme software-updates die SolarWinds later zelf uitrolde.
Vervolgens gebruikten de hackers hun toegang tot de systemen om binnen te raken in de diensten van Microsoft. Daartoe leidden ze de authenticatiesystemen van de softwarereus om de tuin. Dat weet Reuters. Ze fabriceerden een vals SAML-token dat zogezegd een account met hoge privileges binnen Azure Active Directorty voorstelde. Dankzij de toegang verworven via SolarWinds konden ze Azure dat token toespelen en zich zo toegang verschaffen. Verder konden de aanvallers gestolen login-informatie misbruiken.
lees ook
Digitale bankroof: aanvallers stelen zwaarbewaakte hacktools van securityreus FireEye
Verder integreerden de hackers login-informatie in legitieme processen zodat die toegang krijgen tot de Microsoft 365-omgeving. Zo konden de aanvallers via Microsoft Graph of de REST-API data uitlezen. Het is onduidelijk in welke mate de beveiliging van Microsoft in dit geval tekort heeft geschoten. Zo kon tweestapsverificatie op enkele cruciale punten de aanval op z’n minst een stuk complexer maken, maar die stond niet ingeschakeld.
Omvang van de aanval
Microsoft werkt intussen mee aan het onderzoek en nam al een domeinnaam over die de aanvallers gebruiken om hun aanval te sturen. Door te kijken welke IP-adressen met dat malafide domein willen verbinden, kan Microsoft zo een beter zicht krijgen op de omvang van de aanval. SolarWinds bedient immers nog andere cruciale diensten zoals alle takken van het leger van de VS en het gros van de Fortune Top 500-ondernemingen. De kans is dan ook klein dat enkel de NTIA slachtoffer werd.
Voor organisaties is het belangrijk om accounts voldoende af te schermen en tweestasverificatie in te schakelen waar mogelijk. In dit geval was de aanval echter zo gesofisticeerd dat er de slachtoffers weinig te verwijten valt. “Zo’n aanval kan iedereen overkomen”, zei beveiligingsspecialist Simen van Der Perre daar recent nog over in een gesprek naar aanleiding van het FireEye-hack. Dat beveiligingsbedrijf werd eerder aangevallen in een campagne die vermoedelijk gelinkt is aan de recente spionagegolf.