We hopen dat de meeste bedrijven, zeker degenen die de Orion software van SolarWinds gebruiken, ondertussen hun systemen uitgelicht hebben, maar wie extra informatie daarover zoekt, kan terecht op een nieuwe blogupdate van FireEye.

Het bedrijf kwam in december naar buiten met details over een supply chain attack die was uitgevoerd via de beheersoftware Orion. Hackers, vermoedelijk Russische staatsagenten, hadden daarbij een update van de software geïnjecteerd met eigen code, waardoor ze een voet tussen de deur kregen in de systemen van enkele Amerikaanse overheidsinstellingen, maar ook bij Microsoft en een reeks andere techbedrijven.

Vervalste sign-in tokens

In een nieuwe blog geeft de security-onderzoeker nu extra informatie vrij. De prioriteit van de hackers lijkt te liggen bij overheidsinstellingen en IT-bedrijven. Die laatste specifiek omdat ze kunnen gebruikt worden als bruggetje om weer bij andere bedrijven binnen te geraken.

Qua gebruikers hadden de aanvallers het vooral gemunt hadden op gebruikers met toegang tot gevoelige informatie, en op sysadmins. Ze deden dat door de authenticatiesystemen van het netwerk te omzeilen met nagemaakte digitale certificaten en tokens voor de Azure Active Directory. Op die manier zijn ze bijzonder moeilijk te detecteren.

Vandaaruit gingen de hackers op zoek naar mensen met belangrijke rollen in de directory van Microsoft 365, zoals Global Administrators of Application Administrators, om sysadmins te kunnen treffen. Ze stopten vervolgens een achterdeurtje in een bestaande Microsoft 365 applicatie door er een nieuwe applicatie of sevice principal login aan toe te voegen. Daarmee konden ze de toestemmingen van die applicatie gebruiken om bijvoorbeeld de mail van gebruikers te lezen.

Wat doe je daar aan?

"Je zou de entries in de Sign-In logs van Azure AD kunnen vergelijken met de logs van Active Directory Federation Services on-premise om te kijken of al die authenticaties wel van AD FS komen", schrijft het bedrijf, maar het geeft meteen toe dat zoiets in de praktijk moeilijk te doen is. Wat doe je dan wel? FireEye stelt in een uitgebreide whitepaper voor om zeker alle sysadmin accounts na te kijken op nieuwe 'service principals' en die weer weg te halen. Ook verdachte inloggegevens van applicaties kunnen best worden weggehaald. FireEye heeft ook een scriptje op GitHub gezet dat automatisch zoekt naar logins die mogelijk getroffen zijn door de gehackte versie van Orion software.

We hopen dat de meeste bedrijven, zeker degenen die de Orion software van SolarWinds gebruiken, ondertussen hun systemen uitgelicht hebben, maar wie extra informatie daarover zoekt, kan terecht op een nieuwe blogupdate van FireEye. Het bedrijf kwam in december naar buiten met details over een supply chain attack die was uitgevoerd via de beheersoftware Orion. Hackers, vermoedelijk Russische staatsagenten, hadden daarbij een update van de software geïnjecteerd met eigen code, waardoor ze een voet tussen de deur kregen in de systemen van enkele Amerikaanse overheidsinstellingen, maar ook bij Microsoft en een reeks andere techbedrijven. In een nieuwe blog geeft de security-onderzoeker nu extra informatie vrij. De prioriteit van de hackers lijkt te liggen bij overheidsinstellingen en IT-bedrijven. Die laatste specifiek omdat ze kunnen gebruikt worden als bruggetje om weer bij andere bedrijven binnen te geraken. Qua gebruikers hadden de aanvallers het vooral gemunt hadden op gebruikers met toegang tot gevoelige informatie, en op sysadmins. Ze deden dat door de authenticatiesystemen van het netwerk te omzeilen met nagemaakte digitale certificaten en tokens voor de Azure Active Directory. Op die manier zijn ze bijzonder moeilijk te detecteren. Vandaaruit gingen de hackers op zoek naar mensen met belangrijke rollen in de directory van Microsoft 365, zoals Global Administrators of Application Administrators, om sysadmins te kunnen treffen. Ze stopten vervolgens een achterdeurtje in een bestaande Microsoft 365 applicatie door er een nieuwe applicatie of sevice principal login aan toe te voegen. Daarmee konden ze de toestemmingen van die applicatie gebruiken om bijvoorbeeld de mail van gebruikers te lezen."Je zou de entries in de Sign-In logs van Azure AD kunnen vergelijken met de logs van Active Directory Federation Services on-premise om te kijken of al die authenticaties wel van AD FS komen", schrijft het bedrijf, maar het geeft meteen toe dat zoiets in de praktijk moeilijk te doen is. Wat doe je dan wel? FireEye stelt in een uitgebreide whitepaper voor om zeker alle sysadmin accounts na te kijken op nieuwe 'service principals' en die weer weg te halen. Ook verdachte inloggegevens van applicaties kunnen best worden weggehaald. FireEye heeft ook een scriptje op GitHub gezet dat automatisch zoekt naar logins die mogelijk getroffen zijn door de gehackte versie van Orion software.