Security Alerts
Onze support licht je hier regelmatig in van belangrijke gebeurtenissen
Wil je per mail op de hoogte worden gebracht bij toekomstige Security Alerts? Schrijf je dan hier in!
De groep maakt gebruik van een techniek genaamd device code phishing, waarbij slachtoffers worden misleid om zich aan te melden bij valse inlogpagina’s, waardoor hun authenticatietokens worden gestolen. Dit stelt de aanvallers in staat om toegang te krijgen tot hun accounts en gegevens, en zelfs om laterale bewegingen binnen netwerken te maken.
Recentelijk heeft Microsoft vastgesteld dat de groep nu ook misbruik maakt van de Microsoft Authentication Broker om hun aanvalstechnieken te verfijnen en langduriger toegang te behouden.
Hoe werkt device code phishing?
Het is een manier om je access token te ontfutselen en nadien te misbruiken.
Wat doet VanRoey om dit in jouw omgeving te voorkomen?
Klanten die onze Managed Microsoft 365 services genieten zijn sowieso al extra goed beschermd dankzij de strenge policies die we afdwingen. Zo beperken we wie toestellen aan Entra ID kan toevoegen en beperken we de geldigheidsduur van sessies. Maar we nemen ook extra maatregelen:
- We pushen een extra Conditional Access-policy naar alle Managed klanten om deze aanval te voorkomen.
- We adviseren ook ten zeerste de User Awareness (KnowBe4) trainingen om phishing in de breedste zin van het woord te voorkomen
Wat kan je zelf doen om dit te voorkomen?
Om deze dreiging te voorkomen, is het in eerste instantie cruciaal om gebruikers bewust te maken van phishingtechnieken en verdachte inlogverzoeken door gebruik te maken van een ‘Security Awareness campagne‘.
Organisaties kunnen het risico beperken door de device code authentication flow uit te schakelen waar mogelijk en een strikte Conditional Access Policy in te stellen. Daarnaast wordt aangeraden om multifactor-authenticatie (MFA) verplicht te stellen en voorkeur te geven aan phishing-resistente methoden zoals FIDO-tokens of Microsoft Authenticator met passkeys. Ook het blokkeren van legacy authentication en het regelmatig controleren van verdachte inlogactiviteiten kan helpen om aanvallen vroegtijdig te detecteren.
Actie te ondernemen
Naast de eerdergenoemde User Awareness trainingen en het verstrengen/afdwingen van de juiste policies in je Microsoft 365 omgeving vind je in het bronartikel meer informatie alsook opties om de bescherming te maximaliseren.
Mocht er verdacht gedrag worden waargenomen, dan is het belangrijk om onmiddellijk de refresh tokens van getroffen accounts in te trekken en gebruikers te verplichten opnieuw in te loggen. Het implementeren van een sign-in risk policy kan helpen om automatisch te reageren op verdachte aanmeldingen.
Tot slot wordt aanbevolen om identiteit- en toegangsbeheer te centraliseren, zodat verdachte activiteiten sneller kunnen worden opgespoord en de beveiliging van de organisatie versterkt wordt.
Contacteer ons gerust om dit risico voor jou te minimaliseren. Bestaande klanten kunnen een ticket aanmaken. Anderen sturen gerust een mail op support@vanroey.be of tel: 014 470 600.
Microsoft schakelt binnenkort de ‘legacy Exchange Online tokens’ uit. Dit betekent dat de Phish Alert Button (PAB) van KnowBe4 niet langer zal werken zonder een aanpassing.
Actie te ondernemen
Om de PAB correct te laten functioneren, moet deze opnieuw worden geauthenticeerd via Nested App Authentication Single Sign-On (NAA-SSO), zoals omschreven op de website van KnowBe4: https://support.knowbe4.com/hc/en-us/articles/38439352278803-Update-To-Nested-App-Authentication-Single-Sign-On-NAA-SSO-For-The-Phish-Alert-Button-PAB
Let wel: Na het goedkeuren van de rechten voor NAA-SSO kan het nodig zijn om de Phish Alert Button opnieuw te downloaden en uit te rollen.
Klanten met een Security Awareness contract zullen wij proactief ondersteunen. Heb je geen contract en heb je hulp nodig bij deze aanpassing? Laat het ons dan weten, wij helpen je graag verder!
Recent werd een kwetsbaarheid ontdekt in FortiOS en FortiProxy waarmee een aanvaller mogelijk ongeoorloofde toegang kan krijgen tot de management interface van een firewall. Het probleem is gedocumenteerd onder CVE-2024-55591 met een CVSS-score van 9.3 (Critical).
Getroffen producten:
- FortiOS: 7.x en eerder
- FortiProxy: specifieke versie (zie overzicht)
Actie te ondernemen
Omdat er nog geen patch beschikbaar is, raadt Fortinet een tijdelijke maatregel /workaround aan om het risico te beperken.
Onze Managed Services-klanten hoeven zich echter geen zorgen te maken: we hebben jullie omgeving al grondig doorgelicht. Dankzij onze standaardconfiguraties, die de toegang tot de managementinterface streng beveiligen, is het onmogelijk om deze kwetsbaarheid in jullie systemen uit te buiten.
Ben je niet zeker of jouw IT-omgeving veilig is of heb je hulp nodig bij de voorgestelde workaround? Aarzel dan niet ons te contacteren!
CVE-2024-42448
maakt het mogelijk voor een aanvaller om op afstand code uit te voeren op de VSPC-server vanaf een geautoriseerde management agent machine. Dit betekent dat een aanvaller volledige controle over de server kan krijgen, wat kan leiden tot ernstige beveiligingsproblemen. De ernst van deze kwetsbaarheid is als kritiek beoordeeld, met een CVSS-score van 9.9.
CVE-2024-42449
Deze kwetsbaarheid stelt een aanvaller in staat om een NTLM-hash van het VSPC-server service account te lekken en bestanden te verwijderen op de VSPC-server, eveneens vanaf een geautoriseerde management agent machine. Dit kan leiden tot datalekken en verlies van belangrijke gegevens. De ernst van deze kwetsbaarheid is hoog, met een CVSS-score van 7.1.
Risico’s
Als je geen actie onderneemt, kunnen aanvallers bij CVE-2024-42448 willekeurige code uitvoeren op je server. Bij CVE-2024-42449 kunnen aanvallers gevoelige informatie stelen en bestanden verwijderen, wat kan leiden tot datalekken en verlies van cruciale data.
Actie te ondernemen
De enige oplossing voor beide kwetsbaarheden is het updaten naar de nieuwste versie van Veeam Service Provider Console, versie 8.1.0.21999.
Bestaande VanRoey ‘Private Cloud‘ klanten of klanten die van onze console gebruik maken hebben/hadden sowieso niets te vrezen gezien deze omgeving reeds extra strikt beveiligd is van externe toegang. Eerstdaags wordt deze console ook in een gepland onderhoud geupgraded, waardoor meteen ook de nodige securitypatches toegepast worden.
Er zijn geen andere mitigaties beschikbaar, dus het is essentieel om deze update zo snel mogelijk door te voeren om je systemen te beschermen. Uiteraard kunnen we dit voor jou regelen.
Nog geen klant? Contacteer ons gerust via support@vanroey.be of tel: 014 470 600. Als bestaande, niet-beheerde klant kan je ook een ticket aanmaken.
Er is een kritieke kwetsbaarheid ontdekt in FortiManager, het centraal beheerplatform van Fortinet dat wordt gebruikt om de configuratie, beveiligingsbeleid en updates van Fortinet-apparaten (bv. FortiGate firewalls) te beheren. Deze CVE kan aanvallers in staat stellen ongeautoriseerde toegang te verkrijgen tot gevoelige systemen als deze niet gepatcht wordt.
Actie te ondernemen
Wat moet je doen?
- Deze kwetsbaarheid werd gepatcht met volgende versies:
Versie Getroffen Oplossing FortiOS 7.4 7.4.0 tot 7.4.1 Upgrade naar 7.4.2 of hoger FortiOS 7.2 7.2.0 tot 7.2.7 Upgrade naar 7.2.8 of hoger FortiOS 7.0 7.0 alle versies Migreer naar een versie die gepatcht is FortiOS 6.4 6.4 alle versies Migreer naar een versie die gepatcht is - Indien dit voorlopig niet tot de mogelijkheid behoort, is het tijdelijk uitzetten van je FortiManager een alternatieve veiligheidsmaatregel. Dit heeft geen impact op de werking van bv. jouw firewalls.
Wat doet VanRoey?
- Onze Managed Services klanten kunnen gerust zijn: wij zijn volop bezig bovenstaande patches toe te passen of dit is inmiddels al gebeurd.
Ben je geen Managed Services klant en heb je ondersteuning nodig om deze belangrijke kwetsbaarheid te verhelpen? Aarzel dan niet onze Support-dienst te contacteren.
Er is een nieuwe kwetsbaarheid (CVE) ontdekt in Veeam Backup & Replication versies ouder dan v12.1.2.172. Dit betekent dat alle versies onder deze versie gepatcht moeten worden.
Actie te ondernemen
Als je gebruikmaakt van onze Full Managed services, hoef je je geen zorgen te maken. Onze zullen op een veilige manier jouw omgeving voorzien van de juiste updates.
Ben je geen Managed Services klant en heb je hulp nodig bij deze belangrijke update? Aarzel dan niet onze specialisten te contacteren!
Alerts in je mailbox?
Wil je per mail op de hoogte worden gebracht bij toekomstige Security Alerts?
