Microsoft advarer om bagdøre i AD FS-servere

29. september 2021 kl. 09:261
Microsoft advarer om bagdøre i AD FS-servere
Illustration: Iskra Dinkova.
Hackergruppen Nobelium forsøger i øjeblikket at installere bagdøre i Microsoft Active Directory Federation Services-servere.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Microsoft advarer om, at hackergruppen Nobelium - der også menes at have medvirket i sidste års Solarwinds-angreb - i øjeblikket forsøger at installere bagdøre i Microsoft Active Directory Federation Services-servere (AD FS) med henblik på at angribe netværkene yderligere.

Det skriver The Register.

Foruden at installere en bagdør bruger hackergruppen den såkaldte FoggyWeb-malware til bl.a. at hente legitimationsoplysninger, konfigurationsdatabaser og dekrypterede token-signings og token-dekrypteringscertifikater.

I en blog udgivet af Microsoft giver threat intelligence centre-researcher Ramin Nafisi en grundig analyse af FoggyWeb-malwaren.

Artiklen fortsætter efter annoncen

På Twitter skriver Chief Security Advisor i Microsoft Roger Halbheer, at det er »ret vigtige ting. Men hvorfor er der stadig ADFS-servere uden HSM (Hardware Security Modules, red.)? Det bedste ville være at komme ud af ADFS, men hvis du stadig bruger det, skal du flytte dine nøgler til en HSM...«

Microsoft har udgivet en best practice-guide til håndtering af FoggyWeb-malwaren.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
29. september 2021 kl. 17:54

Ikke et pip om hvordan de overhovedet kommer ind på serverne til at begynde med.

De har bare magisk adgang til at udskifte DLL filer på tilfældige ADFS servere rundt omkring?

Så der er altså en ondskabsfuld gruppe mennesker der ude som, såfremt de allerede har administrator adgang til din server, vil prøve at hacke den.

Og det er nyheder hvordan?