SolarWinds-hackers misbruikten Microsoft-resellers voor aanval

Abonneer je gratis op Techzine!

De SolarWinds-hackers gebruikten volgens nieuwsorganisatie Reuters diensten van Microsoft-resellers om toegang te krijgen tot hun doelwitten.  Met deze techniek wilden de hackers vooral doelen aanvallen die niet over de gehackte SolarWinds Orion-netwerksoftware beschikten.

Volgens Reuters hebben hackers via Microsoft Office-licenties die door een reseller werden uitgegeven geprobeerd de e-mail van securityspecialist CrowdStrike uit te lezen. Hierbij werd toegang gezocht tot de leesprivileges.

De hack mislukte echter omdat de securityspecialist de betreffende licenties alleen gebruikt voor Microsoft Word en niet voor zijn e-mail. De hack zou al maanden geleden hebben plaatsgevonden, maar is pas recent door Microsoft aan CrowdStrike medegedeeld.

Zelfde hackers als bij SolarWinds

Als verdachten worden dezelfde hackers genoemd, waarschijnlijk uit Rusland, die onlangs in de geruchtmakende SolarWinds-hack uitvoerden. In deze hack werden niet alleen Amerikaanse overheidsinstellingen gehackt, maar ook techgiganten als Microsoft, Cisco, Nvidia, Intel, VMware, Deloitte en securityspecialist FireEye.

De hack met de Office-licenties via een reseller -de naam van deze reseller is niet bekend gemaakt- is volgens Reuters uitgevoerd om bedrijven te treffen die niet over de SolarWinds Orion-netwerksoftware beschikken.

Microsoft waarschuwt

Microsoft heeft inmiddels zijn klanten en resellers gewaarschuwd om alert op deze mogelijk hack te zijn. Veel resellers die Microsoft-licentie verkopen, hebben vaak constante toegang tot de systemen van klanten wanneer deze nieuwe producten of medewerkers toevoegen.

Na eerdere hacks heeft de techgigant zijn resellers gevraagd extra scherp op te letten als het gaat om de toegang tot de systemen van hun klanten. Bovendien moeten zij van de techgigant hiervoor nu onder meer multifactor authenticatie toepassen.

Meer aanvalsvectoren

De bevestiging dat nu ook Microsoft-licenties worden gebruikt door de SolarWinds-hackers, maakt de kwestie alleen nog maar complexer. In een eerdere verklaring van de Amerikaanse overheid werden Microsoft-producten nog niet als aanvalsvector gezien. De aanval via de resellers heeft nu het tegendeel bewezen.

Nieuwe SolarWinds-update

Intussen heeft SolarWinds eind vorige week ook weer een nieuwe update uitgebracht om kwetsbaarheden in zijn Orion-software te repareren naar aanleiding van een gerapporteerde tweede hackaanval op de producten van de securityspecialist. Deze aanval was afkomstig van een andere groep hackers dan de eerste. Of er een verband bestaat tussen beide hackers is niet bekend,