cj_berlin 1.508 Geschrieben 20. Januar 2024 Melden Geschrieben 20. Januar 2024 Das ist einmal wieder richtig geiler Stoff: https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/ Klar, böser Nobelium, böse Russen, aber dann kommt's: Zitat the threat actor used a password spray attack to compromise a legacy non-production test tenant account and gain a foothold, and then used the account’s permissions to access a very small percentage of Microsoft corporate email accounts, including members of our senior leadership team and employees in our cybersecurity, legal, and other functions, and exfiltrated some emails and attached documents. Und da kann ich nur kopfschüttelnd sagen: DAFUQ? Darf dort ein Praktikant Berechtigungen an Postfächern von Managern vergeben, und zwar an identitäten außerhalb des Tenants? Solange das so bleibt, ist die ganze "EU Data Boundary"-Diskussion das digitale Papier nicht wert, auf dem sie geführt wird... 2 1
v-rtc 92 Geschrieben 20. Januar 2024 Melden Geschrieben 20. Januar 2024 (bearbeitet) Verstehe die ganzen Firmen nicht die nun soweit, zum Teil sind, alles an MS Azure „raus“ zu geben… sind alle so naiv? :o( bearbeitet 20. Januar 2024 von v-rtc Komma
daabm 1.428 Geschrieben 20. Januar 2024 Melden Geschrieben 20. Januar 2024 "Legacy non-production test tenant account" mit "permissions to access corporate email accounts" - wo ist das Emoji mit den hochgerollten Fußnägeln? 5
Gulp 290 Geschrieben 22. Januar 2024 Melden Geschrieben 22. Januar 2024 Wie immer, die schönsten Geschichten schreibt das echte Leben ........ jaja ich werfe ja schon 5 Euro ins Phrasenschwein. Grüsse Gulp 1
testperson 1.857 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 Mhhh... Fehlende MFA, Standardpasswort: So lief der Angriff auf die MS-Securityabteilung | heise onlin Zitat ... Aufgrund einer fehlenden Mehrfaktor-Authentifizierung und durch Ausnutzung eines Standard-Passworts ... Erpressung in Südwestfalen: Akira kam mit geratenem Passwort ins kommunale Netz | heise online Zitat ... gelang wohl aufgrund eines schwachen Passworts, fehlender Mehrfaktor-Authentifizierung und einer schlecht gepflegten VPN-Appliance ... 1
Sunny61 833 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 Das Admin-PW soll lt. diesem Blogpost in einem GPO eingetragen war: https://www.borncity.com/blog/2024/01/26/ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-nachlese-it-forensik-bericht-teil-1/ 1
daabm 1.428 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 (bearbeitet) Das wäre dann "auf ganzer Linie selbstverschuldet"... Wir haben den Krempel durch Skriptsuche eliminiert in allen GPOs (auch von Kunden), als MS14-025 rauskam. Auch schon wieder 9 Jahre her bearbeitet 27. Januar 2024 von daabm 1
NorbertFe 2.277 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 (bearbeitet) Richtig da gabs sogar damals ein Tool von darren als das noch nicht groß im Fokus war. Das dürfte inzwischen durch diverse Tools so schnell zu finden sein, dass das echt unklar ist. Erst recht, dass man da auch noch den Domänenadmin eingetragen hat. Aber wenn ich so manchmal Kundenumgebungen sehe… vor 2 Stunden schrieb Sunny61: Das Admin-PW soll lt. diesem Blogpost in einem GPO eingetragen war: Wobei einige Kommentare aber auch arg schwierig zu ertragen sind. ;) bearbeitet 27. Januar 2024 von NorbertFe
cj_berlin 1.508 Geschrieben 27. Januar 2024 Autor Melden Geschrieben 27. Januar 2024 Ich habe das in nahezu jeder Umgebung gesehen, wo ich ein Audit gemacht habe. Richtig erschreckend finde ich halt auch, dass der Kram seit 10 Jahren nicht mehr funktioniert, die Accounts aber immer noch gültig sind.
NorbertFe 2.277 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 Na klar, jedesmal wenn sie das Passwort ändern funktionieren ja die tasks nicht mehr bzw. Das Konto ist dann so schnell gesperrt 😂
cj_berlin 1.508 Geschrieben 27. Januar 2024 Autor Melden Geschrieben 27. Januar 2024 Aber die Tasks aus der GPP kann es doch auf keinem heute noch supporteten System mehr geben. Das ist vermutlich auch Teil des Problems
NorbertFe 2.277 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 Und man kann’s nur löschen aber nicht ändern. ;)
Sunny61 833 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 vor 55 Minuten schrieb NorbertFe: Wobei einige Kommentare aber auch arg schwierig zu ertragen sind. ;) Jepp, deshalb überfliege ich die meistens auch. ;) vor 19 Minuten schrieb cj_berlin: Aber die Tasks aus der GPP kann es doch auf keinem heute noch supporteten System mehr geben. Es wird aber sicherlich noch sehr viele unsupportete System geben. 1
daabm 1.428 Geschrieben 27. Januar 2024 Melden Geschrieben 27. Januar 2024 vor 46 Minuten schrieb cj_berlin: Ich habe das in nahezu jeder Umgebung gesehen, wo ich ein Audit gemacht habe. Richtig erschreckend finde ich halt auch, dass der Kram seit 10 Jahren nicht mehr funktioniert, die Accounts aber immer noch gültig sind. Korrektur... AFAIK: Man kann keine PW mehr eintragen im UI. Wenn sie aber drin sind, werden sie weiterhin verarbeitet. Und wenn dann keiner "call to action" ruft, ändert sich halt nix. MS hat damals leider versäumt, nicht nur das UI zu patchen, sondern auch die CSE.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden