Informatie
6 Min Gelezen

‍Microsoft zakelijke e-mailhack zet aan tot verandering

Laatst bijgewerkt:
14 mei 2025
Terug naar de blog
‍Microsoft zakelijke e-mailhack zet aan tot verandering

‍Microsoftzakelijke e-mailhack zet aan tot verandering

Een recente hack van Microsoft® e-mailaccounts voor bedrijven heeft Microsoft ertoe aangezet om een fundamentele verandering door te voeren in de aanpak van cyberbeveiliging voor bedrijven.

De hack

Op 12 januari 2024 ontdekte het cyberbeveiligingsteam van Microsoft een aanval op de bedrijfssystemen en activeerde onmiddellijk het reactieproces om de aanval te beperken en te stoppen. Uit het onderzoek van Microsoft bleek dat de aanval in november 2023 was begonnen met een 'password spray'-aanval (een brute force-aanval waarbij een lijst met veelgebruikte zwakke wachtwoorden wordt gebruikt om toegang te krijgen tot honderden accounts) om een legacy niet-productie test tenant account te compromitteren.

Van daaruit gebruikte de dreigingsacteur de machtigingen van de bestaande account om toegang te krijgen tot de e-mailaccounts en bijgevoegde documenten van de hogere leidinggevenden en medewerkers van Microsoft die voornamelijk werkzaam zijn in cyberbeveiliging en juridische functies.

Microsoft heeft de dreiger geïdentificeerd als Midnight Blizzard (ook bekend als Nobelium), een organisatie die wordt gesponsord door de Russische overheid. Nobelium was verantwoordelijk voor de inbreuk op ten minste negen Amerikaanse agentschappen in december 2020 en gebruikte daarbij de software van de federale aannemer SolarWinds® om toegang te krijgen tot de niet-geclassificeerde e-mailsystemen van de agentschappen om bij te houden hoe de Amerikaanse overheid reageerde op de inbreuken van Nobelium.

Net als bij de SolarWinds-aanval, bleek uit het onderzoek van Microsoft naar de aanval op Microsoft-bedrijfssystemen dat de dreigingsacteur op zoek was naar informatie over Midnight Blizzard zelf.

Microsoft deelde de eerste details over de aanval in een bericht van het Microsoft Security Response Center van19 januari, en deelde vervolgens richtlijnen in een bericht van Microsoft Threat Intelligence van25 januari. In het bericht over de respons werd onthuld dat Midnight Blizzard het niet alleen gemunt heeft op Microsoft, maar ook op andere wereldwijde technologiebedrijven. Deze observatie werd bevestigd door een filing van Hewlett Packard Enterprise (HPE) bij de SEC waarin werd onthuld dat Midnight Blizzard in mei 2023 had ingebroken in de cloud-hosted e-mailomgeving van HPE.

Hoe is de hack gebeurd?

Zoals hierboven vermeld, gebruikte de Microsoft e-mailhack een wachtwoordsprayaanval om een legacy niet-productie test tenant account te compromitteren. Dit account brak twee fundamentele cyberbeveiligingsregels. Ten eerste had het account een eenvoudig te raden wachtwoord. Ten tweede had het account geen MFA (multi-factor authenticatie) ingeschakeld.

Microsoft gaf in zijn berichtvan 25 januari toe dat als die legacy account vandaag zou zijn geïmplementeerd, standaard Microsoft beleid en workflows ervoor zouden hebben gezorgd dat MFA op zijn plaats was.

Toen Midnight Blizzard eenmaal toegang had verkregen via de gecompromitteerde legacy e-mail testaccount, identificeerden ze een legacy test OAuth applicatie met verhoogde toegang tot de bedrijfsomgeving van Microsoft en brachten die vervolgens in gevaar. (OPMERKING: OAuth is een open-standaard autorisatieprotocol waarmee een applicatie of website toegang kan krijgen tot gegevens van een andere applicatie of website, bijvoorbeeld door cloud-gebaseerde bestanden via e-mail naar een andere gebruiker te sturen, of door een website zoals ESPN.com toegang te geven tot je Facebook-profiel zonder je Facebook-wachtwoord op te geven).

Vervolgens creëerde Midnight Blizzard aanvullende schadelijke OAuth-toepassingen en een nieuw gebruikersaccount waarmee de schadelijke OAuth-toepassingen toegang kregen tot de bedrijfsomgeving van Microsoft. Tot slot gebruikte Midnight Blizzard de gecompromitteerde legacy test OAuth applicatie om hen een Office 365 Exchange Online rol toe te kennen die toegang geeft tot de mailboxen van werknemers.

Midnight Blizzard maakte gebruik van het bestaan van een verouderde e-mailtestaccount en een verouderde OAuth-testapplicatie die nooit waren bijgewerkt om te voldoen aan moderne cyberbeveiligingsnormen.

Wat verandert Microsoft aan zijn beveiligingsbeleid?

In november 2023 kondigde Microsoft zijn Secure Future Initiative (SFI) aan, dat elk onderdeel van Microsoft samenbrengt om substantiële verbeteringen in de bescherming van cyberveiligheid te stimuleren. Het initiatief streefde naar een balans tussen beveiliging en bedrijfsrisico. Vanuit het oogpunt van bedrijfsrisico's is het uitvoeren van een audit om elke legacy account of applicatie die in de bijna 50-jarige geschiedenis van Microsoft is gemaakt (en vervolgens vergeten) te identificeren en te beveiligen, en het wijzigen van talloze bedrijfsprocessen met betrekking tot het maken en beveiligen van nieuwe accounts en applicaties een taak die veel personeel en tijd vergt.

Helaas is Midnight Blizzard erg goed in het misbruiken van bestaande accounts en OAuth-toepassingen om binnen te dringen in bedrijfssystemen en toegang te krijgen tot bedrijfs- en klantgegevens. Microsoft erkent deze expertise en heeft de noodzaak ingezien om legacy-accounts en -toepassingen eerder vroeger dan later te beveiligen, zoals beschreven in het bericht van het Microsoft Security Response Center van19 januari:

"...We zullen onmiddellijk actie ondernemen om onze huidige beveiligingsstandaarden toe te passen op legacy-systemen en interne bedrijfsprocessen die eigendom zijn van Microsoft, zelfs als deze veranderingen bestaande bedrijfsprocessen kunnen verstoren. Dit zal waarschijnlijk enige verstoring veroorzaken terwijl we ons aanpassen aan deze nieuwe realiteit, maar dit is een noodzakelijke stap en slechts de eerste van een aantal die we zullen nemen om deze filosofie te omarmen." 

Wat kunt u doen om uw klanten en applicaties te beschermen?

Net als Microsoft is een audit van verouderde accounts en OAuth-toepassingen, met daaropvolgende actie om de accounts die niet langer in gebruik zijn te verwijderen en de accounts die nog wel in gebruik zijn te beveiligen met moderne cyberbeveiligingsstandaarden, een noodzakelijke eerste stap. Microsoft heeft nog meer aanbevelingen gedaan in het bovengenoemde bericht van25 januari.

ISV's, MSP's en wederverkopers die klanten beveiligde webgebaseerde toegang tot Windows-toepassingen moeten bieden, kunnen de technologie evalueren die wordt gebruikt om die toepassingen toegankelijk te maken voor gebruikers, inclusief:

  • Gebruikt netwerkcommunicatieprotocol: is het veilig? (OPMERKING: als je het Microsoft Remote Desktop Protocol (RDP) gebruikt, is RDP volgens Sophos, een wereldwijd IT-beveiligingsbedrijf, nog steeds "een van de meest misbruikte tools" om gecompromitteerde referenties te gebruiken voor interne toegang; zie ons blogbericht voor meer informatie).
  • Standaardinstellingen-kan een beheerder of slechterik het delen van server- of clientbronnen inschakelen? 
  • Multi Factor Authenticatie-maakt uw oplossing voor externe toegang multi-factor authenticatie mogelijk? De hierboven beschreven Microsoft-hack werd deels mogelijk gemaakt door een gebrek aan MFA op een oudere test-e-mailapplicatie.
  • Single Sign-on-ondersteunt uw oplossing voor externe toegang single sign-on? De Microsoft-hack die hierboven is beschreven, werd deels mogelijk gemaakt door een eenvoudig te raden wachtwoord.

Als uw webgebaseerde toegangsoplossing uw applicatie en klantgegevens kwetsbaar maakt voor kwaadwillenden, overweeg dan GO-Global.

  • RapidX Protocol (RXP)-RXP is een gepatenteerd protocol met lage bandbreedte voor connectiviteit via seriële lijnen. Het is adaptief, gebruikt meerdere compressielagen en is geoptimaliseerd om het laagst mogelijke bandbreedtegebruik te garanderen. En omdat RXP closed source is, biedt het extra verdediging tegen aanvallers, vergeleken met open-source protocollen zoals Microsoft RDP, waar zwakke plekken in de beveiliging zijn gevonden en uitgebuit.
  • Standaardinstellingen: alle configuratieopties die het delen van server- of clientbronnen mogelijk maken, zijn uitgeschakeld. Daarnaast publiceert GO-Global geen standaardtoepassingen.
  • Two-Factor Authentication (2FA)-GO-Global biedt 2FA, een geavanceerde authenticatiefunctie die een extra beveiligingslaag biedt door gebruikers te vragen om naast hun gebruikersnaam en wachtwoord een 6-cijferige code in te voeren via een authenticatie-app op een smartphone.
  • Ondersteuning voor eenmalige aanmelding voor OpenID® Connect (OIDC)- hiermee kunnen organisaties OIDC-identiteitsproviders zoals Okta® en Microsoft® Active Directory Federated Services (ADFS) gebruiken voor eenmalige aanmelding bij GO-Global Windows-hosts.

GO-Global's meerlaagse benadering van de beveiliging van Windows-toepassingen en klantgegevens vermindert het risico van slechte actoren. Meer informatie hier.

Klik hier om de prijzen voor gelijktijdige gebruikers met SSO van GO-Global te bekijken en uw geschatte prijzen voor GO-Global te berekenen.

Klik hier om een demo aan te vragen; klik hier voor een gratis proefversie van 30 dagen van GO-Global.

Gratis 30 dagen uitproberen
Vraag een demo aan
Auteur
Nannette Vilushis
Directeur Marketing

Probeer GO-Global

Een eenvoudige, gebruiksvriendelijke en kosteneffectieve oplossing

Gratis 30 dagen uitproberen
Vraag een demo aan

Gerelateerde berichten

Blader door alle berichten
App-virtualisatie vs. desktopvirtualisatie
Informatie
5 Min Lezen
5 veelvoorkomende uitdagingen bij applicatiemigratie
Informatie
4 Min Gelezen
Probleem met licentie voor extern bureaublad?
Informatie
7 Min Gelezen

Verminder de kosten en complexiteit van het leveren van uw Windows app

Abonneer u op onze nieuwsbrief
Bedankt voor je deelname aan onze nieuwsbrief.
Oeps! Er is iets misgegaan bij het verzenden van het formulier.