Dutch IT Chanel Logo mobile
Search icon
Wouter Hoeffnagel - 18 maart 2022

Russische staatshackers vallen NGO aan via MFA-configuratiefout en PrintNightmare

Security Cloud Data protection Identity protection
Russische staatshackers vallen NGO aan via MFA-configuratiefout en PrintNightmare image

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de FBI waarschuwen dat staathackers misbruik kunnen maken van standaard protocollen voor meer-factorauthentificatie (MFA) en een kwetsbaarheid in Windows Print Spooler om toegang te verkrijgen tot bedrijfsnetwerken. De organisaties wijzen op een NGO, die afgelopen doelwit is geworden van een aanval waarbij deze combinatie is misbruikt.

De aanvallers maakte misbruik van een verkeerd geconfigureerd account, waardoor zij bij de NGO standaard MFA-protocollen konden instellen. Vervolgens wisten zij een nieuw apparaat aan te melden voor MFA, waarmee zij toegang wisten te krijgen tot het netwerk van de NGO.

PrintNightmare

Eenmaal op het netwerk misbruikten de aanvallers een kwetsbaarheid in Windows Print Spooler die PrintNightmare wordt genoemd (CVE-2021-34527). Hiermee wisten zij malafide code uit te voeren op het netwerk en systeemrechten te verkrijgen. Zo kregen de aanvallers toegang tot e-emailaccounts en konden zij vrij door de cloudomgeving van de NGO bewegen. Hier zijn onder meer documenten van de NGO buitgemaakt.

De aanval ging in mei 2021 van start. Het is niet duidelijk hoe lang de aanvallers aanwezig zijn geweest op het netwerk van de NGO. Het is niet bekend om welke NGO het gaat. Ook laten CISA en de FBI in het midden wie verantwoordelijk is voor de aanval. Wel melden de organisaties dat het om Russische staatshackers gaat.

Maatregelen

CISA en de FBI roepen organisaties op maatregelen te nemen om zich tegen dergelijke aanvallen te wapenen. Concreet geven de organisaties het volgende advies:

  • Voer MFA in voor alle gebruikers zonder uitzonderingen, en zorg dat het correct geconfigureerd is in verdediging tegen 'fail over' en re-enrollment scenario's
  • Implementeert time-out en lock-out features
  • Schakel inactieve accounts uniform uit in active directory, MFA, etc.
  • Update software en prioriteer hierbij bekende kwetsbaarheden die actief worden uitgebuit
  • Monitor netwerklogbestanden continu op verdachte activiteiten
  • Implementeer policies voor security-alerts

Meer informatie is hier beschikbaar.

Lenovo Channel Campagne vierkant Sophos 14/11/2024 t/m 28/11/2024 BN + BW

Dutch IT events

Event icon

Event

Dutch IT Channel Awards 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events
Lenovo Channel Campagne liggend

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!