Ga naar inhoud

Microsoft ontdekt backdoor voor Active Directory Federation Services-servers


Aanbevolen berichten

Microsoft heeft een backdoor ontdekt voor Active Directory Federation Services (AD FS)-servers die volgens het techbedrijf wordt gebruikt door de aanvallers achter de SolarWinds-aanval. AD FS is een door Microsoft ontwikkelde oplossing die single sign-on toegang tot systemen en applicaties binnen het organisatienetwerk biedt.

Zodra de aanvallers een AD FS-server hebben gecompromitteerd installeren ze de backdoor, die Microsoft "FoggyWeb" noemt. Via de backdoor behouden de aanvallers toegang tot het systeem en stelen ze onder andere de configuratiedatabase van de server, alsmede het certificaat voor het signeren van tokens. Ook kunnen de aanvallers via de backdoor, die in de context van het primaire AD FS-proces draait, aanvullende onderdelen downloaden en uitvoeren.

"De FoggyWeb-backdoor fungeert als een passieve en persistente backdoor die misbruik van Security Assertion Markup Language (SAML)-tokens toestaat. De backdoor configureert http-listeners voor door de aanvaller gedefinieerde uri's die de structuur nabootsen van legitieme uri's, gebruikt door de AD FS-installatie van de getroffen organisatie. Deze listeners monitoren alle inkomende http get en post requests vanaf het internet/intranet verstuurd naar de AD FS-server en onderscheppen http requests die overeenkomen met de door de aanvaller opgegeven uri-patronen", legt Microsoft uit in een analyse van de backdoor.

Volgens het techbedrijf is het gebruik van de backdoor voor het eerst in april van dit jaar waargenomen. Organisaties waar de backdoor is aangetroffen zijn door Microsoft gewaarschuwd. In de nu gepubliceerde analyse staan daarnaast verschillende indicators of compromise (IOC's) waarmee organisaties kunnen kijken of de backdoor ook in hun omgeving aanwezig is. Daarnaast worden verschillende adviezen gegeven voor het beveiligen van AD FS-servers, waaronder het gebruik van een wachtwoord van minimaal 25 karakters voor het AD FS-service-account.

 

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites


Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

 Delen

×
×
  • Nieuwe aanmaken...