Malwarebytes getroffen door SolarWinds-hackers, maar alleen interne e-mails waren toegankelijk

De hackers achter de SolarWinds-inbreuk infiltreerden ook in Malwarebytes, maar wisten alleen toegang te krijgen tot enkele interne e-mails, volgens het onderzoek van de antivirusprovider.

De inbraak vond niet plaats via de IT-software van SolarWind, die Malwarebytes niet gebruikt.

In plaats daarvan maakten de aanvallers misbruik van de accounts van het bedrijf met Office 365 en Microsoft Azure.

"We kunnen het bestaan ??van een andere indringingsvector bevestigen die werkt door misbruik te maken van applicaties met geprivilegieerde toegang tot Microsoft Office 365- en Azure-omgevingen," zei Malwarebytes dinsdag in een blogpost.

Op 15 december - de dag nadat de SolarWinds-hack openbaar werd - vertelde Microsoft de antivirusprovider dat het verdachte activiteit had opgemerkt die afkomstig was van een applicatie van een derde partij binnen het Office 365-systeem van Malwarebytes.

"Uit het onderzoek blijkt dat de aanvallers gebruik maakten van een slapend e-mailbeveiligingsproduct binnen onze Office 365-tenant dat toegang gaf tot een beperkte subset van interne bedrijfse-mails", aldus Malwarebytes.

De tactieken en technieken die tijdens de inbraak werden gebruikt, waren ook consistent met de doorbraak van SolarWinds.

Gelukkig heeft Malwarebytes de Azure-cloudservice van Microsoft nooit gekoppeld aan de antivirusproductie-omgevingen van Malwarebytes.

Desalniettemin begon het beveiligingsbedrijf een volledig onderzoek om tekenen van mogelijke manipulatie in de systemen van het bedrijf te vinden, ook binnen de broncode van het product en de softwareleveringsprocessen.

"Onze interne systemen vertoonden geen bewijs van ongeautoriseerde toegang of compromittering in on-premise en productieomgevingen", aldus Malwarebytes.

"Onze software blijft veilig in gebruik."

Een succesvolle hack van de antivirusproducten van Malwarebytes zou rampzalig zijn voor gebruikers over de hele wereld.

Het bedrijf is een vertrouwde naam in IT-beveiliging en zegt dat het naast miljoenen consumenten ook meer dan 60.000 bedrijven beschermt.

Om de inbraak te voorkomen, zegt Malwarebytes dat de hackers mogelijk gebruik hebben gemaakt van een vermeende zwakte in Microsoft's Azure Active Directory die beveiligingsonderzoeker Dirk-jan Mollema in 2019 meldde.

Als je een "Application Admin-account" of de service kunt u extra privileges krijgen voor de Microsoft 365-applicaties van een klant, waardoor de weg wordt vrijgemaakt voor toegang via de achterdeur tot de IT-systemen van een slachtoffer.

"De escalatie is nog steeds mogelijk aangezien dit gedrag wordt beschouwd als 'by-design' en dus een risico blijft", schreef Mollema in september 2019.

Malwarebytes wijst erop dat de hackers mogelijk hun wachtwoord hebben geraden om een ??beheerdersaccount van een applicatie te compromitteren.

“In ons specifieke geval heeft de bedreigingsacteur een zelfondertekend certificaat met inloggegevens toegevoegd aan het service-principal-account.

Van daaruit kunnen ze zich authenticeren met behulp van de sleutel en API-aanroepen doen om e-mails aan te vragen via MSGraph (Microsoft Graph), ”voegde het bedrijf eraan toe.

De inbraak bij Malwarebytes onderstreept hoe de SolarWinds-hackers waarschijnlijk een verscheidenheid aan kwetsbaarheden gebruikten om hun slachtoffers te bespioneren, waaronder tal van Amerikaanse overheidsinstanties.

"Er moet nog veel meer worden ontdekt over deze lange en actieve campagne die zoveel spraakmakende doelen heeft getroffen", voegde Malwarebytes toe.

Volgens Amerikaanse inlichtingendiensten zijn de daders achter de SolarWinds-inbreuk waarschijnlijk hackers die vanuit Rusland werken.

Het Kremlin heeft herhaaldelijk elke betrokkenheid ontkend.

In reactie op de inbraak van Malwarebytes zei Microsoft: "Uit ons voortdurende onderzoek naar recente aanvallen is gebleken dat deze geavanceerde en geavanceerde bedreigingsacteur verschillende technieken in hun toolkit had.

We hebben geen kwetsbaarheden in onze producten of cloudservices geïdentificeerd."

Opmerking van de uitgever: Dit verhaal is bijgewerkt met de verklaring van Microsoft.

Malwarebytes heeft ook zijn blogpost bijgewerkt om de term "Azure Active Directory-zwakte" te schrappen en in plaats daarvan te specificeren dat de hackers een slapend e-mailbeschermingsproduct binnen het Office 365-systeem van het bedrijf gebruikten.

De hackers achter de SolarWinds-inbreuk infiltreerden ook in Malwarebytes, maar wisten alleen toegang te krijgen tot enkele interne e-mails, volgens het onderzoek van de antivirusprovider.

De inbraak vond niet plaats via de IT-software van SolarWind, die Malwarebytes niet gebruikt.

In plaats daarvan maakten de aanvallers misbruik van de accounts van het bedrijf met Office 365 en Microsoft Azure.

"We kunnen het bestaan ??van een andere indringingsvector bevestigen die werkt door misbruik te maken van applicaties met geprivilegieerde toegang tot Microsoft Office 365- en Azure-omgevingen," zei Malwarebytes dinsdag in een blogpost.

Op 15 december - de dag nadat de SolarWinds-hack openbaar werd - vertelde Microsoft de antivirusprovider dat het verdachte activiteit had opgemerkt die afkomstig was van een applicatie van een derde partij binnen het Office 365-systeem van Malwarebytes.

"Uit het onderzoek blijkt dat de aanvallers gebruik maakten van een slapend e-mailbeveiligingsproduct binnen onze Office 365-tenant dat toegang gaf tot een beperkte subset van interne bedrijfse-mails", aldus Malwarebytes.

De tactieken en technieken die tijdens de inbraak werden gebruikt, waren ook consistent met de doorbraak van SolarWinds.

Gelukkig heeft Malwarebytes de Azure-cloudservice van Microsoft nooit gekoppeld aan de antivirusproductie-omgevingen van Malwarebytes.

Desalniettemin begon het beveiligingsbedrijf een volledig onderzoek om tekenen van mogelijke manipulatie in de systemen van het bedrijf te vinden, ook binnen de broncode van het product en de softwareleveringsprocessen.

"Onze interne systemen vertoonden geen bewijs van ongeautoriseerde toegang of compromittering in on-premise en productieomgevingen", aldus Malwarebytes.

"Onze software blijft veilig in gebruik."

Een succesvolle hack van de antivirusproducten van Malwarebytes zou rampzalig zijn voor gebruikers over de hele wereld.

Het bedrijf is een vertrouwde naam in IT-beveiliging en zegt dat het naast miljoenen consumenten ook meer dan 60.000 bedrijven beschermt.

Om de inbraak te voorkomen, zegt Malwarebytes dat de hackers mogelijk gebruik hebben gemaakt van een vermeende zwakte in Microsoft's Azure Active Directory die beveiligingsonderzoeker Dirk-jan Mollema in 2019 meldde.

Als je een "Application Admin-account" of de service kunt u extra privileges krijgen voor de Microsoft 365-applicaties van een klant, waardoor de weg wordt vrijgemaakt voor toegang via de achterdeur tot de IT-systemen van een slachtoffer.

"De escalatie is nog steeds mogelijk aangezien dit gedrag wordt beschouwd als 'by-design' en dus een risico blijft", schreef Mollema in september 2019.

Malwarebytes wijst erop dat de hackers mogelijk hun wachtwoord hebben geraden om een ??beheerdersaccount van een applicatie te compromitteren.

“In ons specifieke geval heeft de bedreigingsacteur een zelfondertekend certificaat met inloggegevens toegevoegd aan het service-principal-account.

Van daaruit kunnen ze zich authenticeren met behulp van de sleutel en API-aanroepen doen om e-mails aan te vragen via MSGraph (Microsoft Graph), ”voegde het bedrijf eraan toe.

De inbraak bij Malwarebytes onderstreept hoe de SolarWinds-hackers waarschijnlijk een verscheidenheid aan kwetsbaarheden gebruikten om hun slachtoffers te bespioneren, waaronder tal van Amerikaanse overheidsinstanties.

"Er moet nog veel meer worden ontdekt over deze lange en actieve campagne die zoveel spraakmakende doelen heeft getroffen", voegde Malwarebytes toe.

Volgens Amerikaanse inlichtingendiensten zijn de daders achter de SolarWinds-inbreuk waarschijnlijk hackers die vanuit Rusland werken.

Het Kremlin heeft herhaaldelijk elke betrokkenheid ontkend.

In reactie op de inbraak van Malwarebytes zei Microsoft: "Uit ons voortdurende onderzoek naar recente aanvallen is gebleken dat deze geavanceerde en geavanceerde bedreigingsacteur verschillende technieken in hun toolkit had.

We hebben geen kwetsbaarheden in onze producten of cloudservices geïdentificeerd."

Opmerking van de uitgever: Dit verhaal is bijgewerkt met de verklaring van Microsoft.

Malwarebytes heeft ook zijn blogpost bijgewerkt om de term "Azure Active Directory-zwakte" te schrappen en in plaats daarvan te specificeren dat de hackers een slapend e-mailbeschermingsproduct binnen het Office 365-systeem van het bedrijf gebruikten.