Kennisplatform

In most organisations using Active Directory and Exchange, Exchange servers have such high privileges that being an Administrator on an Exchange server is enough to escalate to Domain Admin. Recently I came across a blog from the ZDI, in which they detail a way to let Exchange authenticate to attackers using NTLM over HTTP. This can be combined with an NTLM relay attack to escalate from any user with a mailbox to Domain Admin in probably 90% of the organisations I’ve seen that use Exchange. This attack is possible by default and while no patches are available at the point of writing, there are mitigations that can be applied to prevent this privilege escalation. This blog details the attack, some of the more technical details and mitigations, as well as releasing a proof-of-concept tool for this attack which I’ve dubbed “PrivExchange”.

Introduction

Microsoft Office documents provide attackers with a variety of ways to trick victims into running arbitrary code. Of course an attacker could try to exploit an Office vulnerability, but it is more common to send victims Office documents containing malicious macros, or documents containing embedded (Packager) executable files. 

To make these attacks harder, Microsoft has been adding security measures to Office that are aimed at protecting victims from running malicious code. A well-known measure is to open documents in Protected View when they are downloaded from the internet. Office 2016 and Office 365 contain additional security measures like a GPO to disable macros altogether when a document is downloaded from the internet. And the Packer file extension blacklist that blocks running of blacklisted file types. 
 

Terwijl bijna iedereen op 2 januari aan het bijkomen was van oud en nieuw, publiceerde Piotr Dsuzynski een nieuwe tool genaamd Modlishka. Modlishka is een reverse proxy die het mogelijk maakt zonder grote inspanning een zogeheten man-in-the-middle aanval uit te voeren.

Wie mag wat en waarom is dat zo? Dat is de kernvraag van beveiliging. Van informatiebeveiliging en cybersecurity. Maar ook van fysieke beveiliging.

Op zich is de vraag betrekkelijk eenvoudig te bepalen wie iets mag: De eigenaar bepaalt wie iets mag, wie toegang krijgt. De eigenaar van een pand bepaalt bijvoorbeeld wie het pand binnen mag. En als de eigenaar het pand verhuurt, dan zou de huurder, als ‘contracteigenaar’ binnen de contractvoorwaarden ook toegang kunnen verlenen aan anderen. Dit is een betrekkelijk eenvoudig principe. En dat zou ook betrekkelijk eenvoudig reproduceerbaar kunnen zijn voor andere contexten, zoals toegang tot informatie, gegevens en systemen, maar er is wel meer over te zeggen: Als we het hebben over informatievoorziening, dan is er namelijk sprake van meerdere eigenaren en meerdere typen eigenaren en gebruikers. Dat maakt dat de vraag over ‘Wie Wat Waarom mag’ wel een diepere lading heeft dan alleen maar een sleutel verstrekken aan de huurder van een pand. 

During several months we worked together with a number of Dutch financial institutions to create the threat hunting methodology called TaHiTI. Which stands for Targeted Hunting integrating Threat Intelligence. You can obtain it from here: https://www.betaalvereniging.nl/en/safety/tahiti.

The goal of this collaboration was to reach a joint understanding of what threat hunting is and to come up with a common approach how to carry out threat hunting. As the name implies, threat intelligence has an important role within this methodology. It is used as a source for creating hunting hypotheses and during the hunting investigation to further contextualize and enrich the hunt.

When money is not an issue companies tend to look at legal standards differently. Today, also digital entrepreneurs seem to go their own way more than ever before. Take Uber. Since its establishment in 2009, all kinds of legal conflicts of weight have occurred in various jurisdictions. From large-scale privacy violations and alleged misuse of trade secrets to claims based on structural sexual harassment and misleading a supervisory body. Exemplary, however, are the legal battles relating to its UberPOP ride-share service, executed by ordinary people who love to moonlight. This business model fundamentally clashes with the licensed passenger transport regulation that many countries have in place. You could have counted that on your fingers in advance. 

A closer connection to the real world

From a risk perspective 2018 was an interesting year. But what will 2019 bring? In this blog series we look back but more so: we move forward. How can blockchain technology, cyber security, risk sensing and privacy help you gain a competitive advantage in the years to come? Episode 1 is about cyber security: the connection between digital and physical worlds.

In an otherwise perfect interview on the importance of social innovation (that I wholly agree with and that I encourage everybody to read) Jaromil said something interesting about the use of blockchain to create scarcity in the digital realm.

With the blockchain the situation is paradoxically creating scarcity, because if I give you something I will not have it anymore, and I can’t spend it anymore. The blockchain creates for the first time a condition in which it will be possible to create a unique asset in the digital dimension.

Op 14 mei 2018 draagt het Nederlandse kabinet de Rijksoverheid op de antivirussoftware van Kaspersky Lab niet langer te gebruiken en uit te faseren. Organisaties die vallen onder Algemene Beveiligingseisen Defensie Opdrachten (ABDO) of vallen onder vitale diensten en processen krijgen het advies hetzelfde te doen. Het advies geldt niet voor andere organisaties. Ook maakt het kabinet duidelijk dat het alleen gaat om de antivirussoftware,niet om de andere producten en diensten van Kaspersky Lab. Er zijn voor het kabinet drie redenen om deze keuze te maken.

Marcus Bakker, CEO en Founder van MB Secure, geeft zijn kijk op Blue Teams en beantwoord de vraag hoe Blue Teams slimmer en effectiever ingericht kunnen worden. Hij geeft daarbij zijn kijk op blue teams en hoe defenders advantage ingezet kan worden tijdens de inrichting hiervan.

Met de recente onthulling van een spionageoperatie in het centrum van Den Haag herleven oude tijden uit de koude oorlog en de ICT. De zaak maakt snoeihard duidelijk dat het met informatiebeveiliging maar droevig gesteld is.

Toen in de jaren 90 van de vorige eeuw draadloze netwerken in opkomst waren, was het onder hackers een sport om te gaan ‘wardriven’. Met een computer, insteekmodule voor wifi en een antenne reed je door stadscentra. Je kon meeliften op de netwerken van anderen, kijken naar bestanden op computers en bij bedrijven netwerken overnemen. Het was eigenlijk te simpel.

Alle provincies willen eind 2023 het ISO 27001-certificaat gehaald hebben. Daarmee tonen ze aan dat ze hun informatiebeveiliging goed op orde en onder controle hebben.

Op 12 juni stond de ISO 27001-certificering op de agenda. ‘Informatiebeveiliging krijgt steeds meer prioriteit’, licht David van der Meer toe. ‘Het kabinet legt meer druk op overheidsinstanties om dit overal op dezelfde manier te regelen. Ook de AVG die in mei van kracht ging, laat zien hoe actueel het onderwerp is. Daarom hebben provincies eind 2017 met elkaar afgesproken dat ze over 5 jaar ISO-27001 gecertifieerd willen zijn.

Interessante discussie in de berichtgeving over de Bits of Freedom informatieopvraagtool, waarmee je makkelijk brieven genereert om je rechten naar bedrijven over je persoonsgegevens uit te oefenen. En dan (natuurlijk) het vergeetrecht, hoe ver gaat dat als je vraagt om vergeten te worden. Tweaker ‘RedSandro’ signaleert een specifiek probleem:

Af en toe komt het – hoewel uitzonderlijk – voor dat een bedrijf te maken heeft met dataverlies. Er wordt dan tijdelijk (onlangs github iirc) of permanent (verleden jaar gitlab iirc) een backup teruggezet. Nu ben ik benieuwd wat de wet hierover te zeggen heeft.Als klant denk ik: Ik wil ook niet meer in backups voorkomen. Dit is al dan niet een smoes die ik wel eens heb gehoord als reden waarom ik na verloop van tijd weer een nieuwsbrief ontvang nadat ik me heb uitgeschreven.

Frank Koppejan, directeur Privacy Company, schreef speciaal voor AWVN een gastblog. Hij heeft zes tips voor 2019 om, na de invoering van de AVG, het privacybeleid van uw organisatie verder te verbeteren en het privacybewustzijn onder medewerkers te vergroten.

Na hard gewerkt te hebben om op 25 mei 2018 (een deel van) de privacyzaken te hebben geregeld, zijn we nu een aantal maanden verder. Zoals verwacht, is de wereld niet vergaan. Toch is het belangrijk dat het onderwerp privacy een structurele plek op de agenda krijgt bij directie en medewerkers. Niet alleen omdat de AVG dit vraagt, maar ook omdat het onderwerp dit verdient. Klanten, burgers, leveranciers en andere belanghebbenden verwachten dat u goed met hun gegevens omgaat. En als het goed is, wilt u dit zelf ook.

This will be the last blog in this series on OPSEC for Blue Teams. I will share some of my thoughts on sandboxes, secure communications and sharing of info & data, when dealing with a targeted attack.

OPSEC for Blue Teams part 1 - Losing Defender's Advantage can be found here.
OPSEC for Blue Teams part 2 - Testing PassiveTotal & VirusTotal can be found here.