Veiligheid

‘Abnormale toename van DNS-query’s’ sloeg microsofts cloud vorige week van het web

Het was een tsunami van DNS-query’s die uiteindelijk een groot aantal Microsoft-services, van Xbox Live tot Teams, voor sommige netizens ongeveer een uur op April Fools’ Day, Redmond heeft gezegd.

Of zoals de Windows-gigant het verwoordde, de storing was het gevolg van “een abnormale toename van DNS-query’s van over de hele wereld gericht op een set domeinen die op Azure worden gehost.” In een postmortaal onderzoek van de downtime zei Microsoft dat de stortvloed aan verzoeken een programmeerfout in zijn infrastructuur veroorzaakte die zijn vermogen om aan de vraag te voldoen belemmerde:

Normaal gesproken zouden de lagen caches en verkeers vormen van Azure deze piek verminderen. In dit incident heeft een specifieke reeks gebeurtenissen een codefout in onze DNS-service blootgelegd die de efficiëntie van onze DNS Edge-caches verminderde. Toen onze DNS-service overbelast raakte, begonnen DNS-clients regelmatig hun verzoeken opnieuw te bekijken, waardoor de werkbelasting aan de DNS-service werd toegevoegd. Aangezien client retries worden beschouwd als legitiem DNS-verkeer, werd dit verkeer niet verwijderd door onze volumetrische piekbeperkingssystemen. Deze toename van het verkeer leidde tot een verminderde beschikbaarheid van onze DNS-service.

Microsoft zegt dat het nu de bug heeft opgelost “zodat alle aanvragen efficiënt in de cache kunnen worden afgehandeld”, en “de automatische detectie en beperking van afwijkende verkeerspatronen” heeft verbeterd.

Noord-Koreanen gaan weer achter infosec bods aan
In januari waarschuwde Google dat vermoedelijke Cyberspionnen van de Noord-Koreaanse overheid op beveiligingsonderzoekers azen. Vorige week woensdag zei het team dat een nieuwe tactiek probeerde.

De Threat Analysis Group van de webgigant zei in maart een nepbeveiligingsbedrijf SecuriElite te hebben ontdekt dat via sociale media, zoals LinkedIn en Twitter, legitieme professionals heeft bereikt.

“Net als eerdere websites die we door deze acteur hebben zien zijn opgezet, heeft deze website onderaan de pagina een link naar hun openbare PGP-sleutel”, aldus de analisten van Google. “In januari meldden gerichte onderzoekers dat de PGP-sleutel die op de blog van de aanvaller werd gehost, fungeerde als de lokroep om de site te bezoeken waar een browserexploitatie wachtte om te worden geactiveerd.”

Achter beveiligingsonderzoekers aan gaan is een risicovolle/hoge beloning. Aan de ene kant zijn ze eerder voorzichtig met mogelijke gevaren, maar je hoeft maar één fout te maken en dan is er een groot aantal kwetsbaarheden en misbruik van onderzoeksmateriaal en contacten die van je gecompromitteerde slachtoffer moeten worden geoogst. Met de nieuwste waarschuwing van Google is het tijd om schilden in te stellen op maximaal, zo niet al.

Microsoft stelt nieuwe basislijn in voor 365 bedrijfsapps
Beheerders met een Windows-zware focus willen misschien de nieuwste Redmond-missive bekijken over geplande beveiligingswijzigingen voor Microsoft 365-apps in de komende versie 2103.

Hoewel dit op dit moment ontwerpvoorstellen zijn, zullen ze enige verstoring veroorzaken. Dynamische gegevensuitwisseling voor Excel is over de hele linie uit, JScript-uitvoering voor Office wordt strenger afgesloten om de uitvoering van willekeurige code te voorkomen en er is meer actie tegen macro’s.

Defender verhardt ook zijn standpunt over onbetrouwbare documenten, wat in het verleden tot enkele vals-positieve problemen heeft geleid. Dus bekijk de specificaties en maak weergaven bekend – misschien luistert Microsoft.

DeepDotWeb-beheerder pleit schuldig
Een IT-beheerder die activiteiten uitvoerde voor DeepDotWeb – een portaal dat netizens wees op dark web-marktplaatsen die malware, wapens en drugs verkopen – pleitte deze maand schuldig aan witwaspraktijken.

Tal Prihar, 37, een Israëlische burger die in Brazilië woont, richtte in oktober 2013 het DeepDotWeb-portaal op met medeverdachte Michael Phan, 34, van Israël, en hoewel ze niet persoonlijk handelden in illegale goederen, koppelden ze zich aan degenen die dat wel deden en ontvingen ze $ 8,4 miljoen aan smeergeld om bepaalde onbetrouwbare sites te promoten, zeiden aanklagers. Het portaal werd in mei 2019 verwijderd na een gecombineerde operatie door Europol en Israëlische en Amerikaanse wetshandhaving.

“Zes jaar lang was DeepDotWeb een toegangspoort om de illegale aankoop van items te vergemakkelijken met gevaarlijke drugs, wapens en schadelijke software,” zei waarnemend speciaal agent Carlton Peeples van het Pittsburgh Field Office van de FBI. “Prihar profiteerde als bijproduct van de gevaarlijke transacties van anderen en het schuldige pleidooi van vandaag stuurt een boodschap naar andere cyberactoren over de hele wereld die denken dat het dark web een veilige haven is.”

Prihar heeft ingestemd met het verbeurd verklaren van $ 8.414.173 aan fondsen en zal in augustus worden veroordeeld. Phan’s zaak is in behandeling.

Accellion-hack gaat gewoon door: topuniversiteiten geplunderd
Enkele van Amerika’s meest technologisch geavanceerde leerhallen zijn getroffen door afpersers die over het internet cruisen en misbruik maken van kwetsbare implementaties van de Accellion-software voor bestandsoverdracht om de interne geheimen en andere gegevens van organisaties te stelen. De Clop boeven, die regeringen en grote biz hebben geraakt, eisen dan betaling om de gezuiverde gegevens in de gaten te houden.

Stanford, de Universiteit van Californië, inclusief UC Berkeley, en anderen hebben persoonlijke informatie gestolen. Gigabytes aan gestolen gegevens is geüpload naar het dark web om de hogescholen aan te moedigen losgeld te betalen om te voorkomen dat alle gegevens online worden gedumpt. Studenten worden ook lastiggevallen door de afpersers via e-mail.

“We geloven dat de persoon(en) achter deze aanval bedreigende massa-e-mails sturen naar leden van de UC-gemeenschap in een poging om mensen bang te maken om hen geld te geven. In het bericht staat: ‘Uw persoonlijke gegevens zijn gestolen en zullen worden gepubliceerd’, aldus UC Davis.

De universiteiten adviseren de gebruikelijke maatregelen: wachtwoordwijzigingen, multifactorauthenticatie en kredietcontroles.

Fortinet software gestalkt door snoops
De FBI en Amerika’s Cybersecurity and Infrastructure Security Agency (CISA) rondden vorige week af met een waarschuwing [PDF] op vrijdag dat installaties van Fortinet’s FortiOS SSL VPN-portal actief werden onderzocht op ongepatchte beveiligingsfouten door top-tier miscreants, in industriejargon bekend als een geavanceerde persistent threat (APT). De snoops lijken te hopen bugs te exploiteren die CVE-2018-13379, CVE-2020-12812 en CVE-2019-5591 zijn toegewezen, wordt ons verteld. Patches zijn al een lange tijd beschikbaar voor deze gaten en zouden nu al moeten worden geïnstalleerd.

“Het is waarschijnlijk dat de APT-actoren scannen op deze kwetsbaarheden om toegang te krijgen tot meerdere netwerken van overheids-, commerciële en technologiediensten”, aldus de agentschappen.

“De APT-actoren kunnen een of al deze CVE’s gebruiken om toegang te krijgen tot netwerken in meerdere kritieke infrastructuursectoren om toegang te krijgen tot belangrijke netwerken als prepositionering voor vervolgaanvallen op gegevensexfiltratie of gegevensversleuteling.”

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *