Bij de wereldwijde supply-chain-aanval via de software van SolarWinds zijn mogelijk zwakke wachtwoorden gebruikt om binnen te dringen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft dit recentelijk bekendgemaakt. Het CISA stelde al eerder dat de criminelen behalve via geïnfecteerde SolarWinds-updates ook andere aanvalsmethodes hebben toegepast.
Een van deze methodes is mogelijk het raden van wachtwoorden. Dat kan bijvoorbeeld via een bruteforce-aanval, password spraying en misbruik van slechte beveiligde beheerderswachtwoorden. De overheidsinstantie onderzoekt momenteel verscheidene gevallen waarbij deze technieken mogelijk zijn toegpast.
Ongeacht de gebruikte aanvalsmethode hadden de hackers het volgens het CISA voorzien op de Microsoft-cloudomgevingen van slachtoffers. Ze maakten daarbij gebruik van vervalste authenticatietokens. Met aanvullende inloggegevens en API’s waren ze in staat om toegang te hebben tot de cloudomgeving.
De overheidsinstantie heeft nu op GitHub de detectietool genaamd Sparrow ter beschikking gesteld. Bedrijven en instellingen kunnen er hun gecompromitteerde Microsoft Azure Active Directory (AD)-, Office 365 (O365)-,en Microsoft 365-omgevingen mee onderzoeken.
