Update

Het Cybersecurity Dreigingsbeeld en advies rapport is uit! Download hem hier.

Lees verder

We zien het steeds vaker in het nieuws. Een organisatie is getroffen door datadiefstal. Hoe kan het zo zijn dat een infrastructuur door iemand van buitenaf betreden wordt? In de meeste gevallen gebeurt dit door een kwetsbaarheid binnen de infrastructuur welke niet is opgevallen. Had dit voorkomen kunnen worden? In 99% van de gevallen is dit zeker te voorkomen. Hiervoor dien je natuurlijk wel te weten waar deze kwetsbaarheid zich bevindt en wat je kunt doen om deze op te lossen. Hier gebruiken we Vulnerability management systemen voor.

Wat is Vulnerability management?

Vulnerability management betekent eigenlijk niks anders als je kwetsbaarheden beheren. Dit houdt in dat je in kaart brengt waar en welke risico’s er in jouw infrastructuur leven. Want hoe beter je je kwetsbaarheden kent, hoe beter je je ervoor kunt beveiligen. Het doel van vulnerability management is om de algehele blootstelling aan risico’s van een organisatie te verkleinen, door zoveel mogelijk beveiligingsproblemen te verhelpen. Dit kan een uitdagende taak zijn, afhankelijk van het aantal potentiële beveiligingsproblemen en de beperkte resources die beschikbaar zijn voor herstel. Vulnerability management moet een continu proces zijn, om op de hoogte te blijven van nieuwe en opkomende bedreigingen en veranderende omgevingen.

Hoe doet een Vulnerability Management systeem dit?

Een vulnerability managementsysteem heeft een zogenoemde scanner die de gegevens verzameld. Het proces gaat in het kort als volgt:

De scanner gaat elke gedefinieerde asset eerst af met een reconnaissance fase. Dit is een fase waar eerst alle informatie over deze asset wordt verzameld, ook wel footprinting genoemd.

Dit zijn gegevens zoals het operating system en welke soorten connectie protocollen er open staan en ook de software wat mogelijk op deze asset geïnstalleerd staat. Daarnaast worden de versie nummers opgehaald. In deze fase wordt er dus zoveel mogelijk informatie verzameld over deze asset.

Vervolgens worden de resultaten tegen een database vergeleken waarin alle bekende kwetsbaarheden staan voor bepaalde versies software en protocollen. Ook kan het systeem deze kwetsbaarheid testen op de asset om er zeker van te zijn dat het geen false positive is. Hiermee bevestigt het systeem dat deze kwetsbaarheid te misbruiken is.

We krijgen dan een overzicht te zien welke kwetsbaarheden er binnen deze asset leeft en hoe we dit kunnen oplossen om te voorkomen dat er misbruik van gemaakt wordt.

Waarom is het belangrijk om Vulnerability Management te hebben?

Hiermee kunnen we kwetsbaarheden in kaart brengen en deze oplossen voordat er misbruik van gemaakt wordt. Als je niet weet waar je kwetsbaarheden binnen je infrastructuur ligt, kan je deze moeilijk oplossen. Maatregelen treffen om zoveel mogelijk veilig te blijven doormiddel van EDR of antivirus oplossingen is goed, maar als de software binnen je infrastructuur niet meer veilig is en je bent hier niet van op de hoogte, loop je mogelijk een risico dat je een indringer een mogelijkheid geeft om je infrastructuur binnen te treden.

Voordelen van vulnerability management

Hieronder staan enkele voordelen van vulnerability management:

  1. Verminderen van risico’s: Door kwetsbaarheden proactief te identificeren en te behandelen, kan de kans op beveiligingslekken worden verminderd. Dit helpt organisaties om hun IT-systemen en -infrastructuur beter te beschermen tegen aanvallen en cybercriminaliteit.
  2. Efficiëntie: Vulnerability management stelt organisaties in staat om de beveiligingsrisico’s van hun IT-systemen en -infrastructuur te prioriteren op basis van de ernst van de kwetsbaarheden. Dit stelt organisaties in staat om hun beperkte middelen en tijd efficiënter in te zetten en prioriteit te geven aan de belangrijkste kwetsbaarheden.
  3. Compliance: Veel organisaties hebben te maken met beveiligingsregelgeving en compliance-eisen, zoals de GDPR (AVG) of ISO 27001. Vulnerability management helpt organisaties om aan deze eisen te voldoen door kwetsbaarheden te identificeren en aan te pakken.
  4. Kostenbesparing: Door kwetsbaarheden proactief te identificeren en te behandelen, kunnen organisaties de kosten van datalekken en andere beveiligingsincidenten verminderen. Dit kan ook helpen om de kosten van beveiligingsinvesteringen in de toekomst te verminderen.
  5. Betrouwbaarheid: Het identificeren en aanpakken van kwetsbaarheden verbetert de betrouwbaarheid van IT-systemen en -infrastructuur. Dit kan helpen om de continuïteit van bedrijfsprocessen te waarborgen en downtime te voorkomen.

Kortom, vulnerability management is een belangrijk onderdeel van een effectieve IT-beveiligingsstrategie. Het kan organisaties helpen om hun IT-systemen en -infrastructuur veiliger, efficiënter en betrouwbaarder te maken.

Wat kan Pinewood hierin betekenen voor jouw organisatie?

Bij Pinewood werken we al langere tijd met Vulnerability management as a service voor onze klanten. Wij zijn een managed security service provider voor Rapid7 producten. Onze engineers zijn dus gecertificeerd en gespecialiseerd voor de producten die wij leveren en gebruiken van Rapid7.

Wij kunnen jouw organisatie helpen met het in kaart brengen van kwetsbaarheden binnen jouw infrastructuur, het advies en begeleiding hierin geven voor een veiligere infrastructuur, en natuurlijk jouw organisatie een stuk veiliger maken in dit digitale tijdperk.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

TikTok is een van de snelst groeiende social media platformen ter wereld. Via de app kunnen gebruikers video’s maken en delen. Het sociale media platform is gigantisch populair maar brengt helaas ook risico’s met zich mee. Wat zijn deze risico’s en welke maatregelen zouden alle organisaties moeten nemen als het gaat om het beveiligen van zakelijke mobiele telefoons? Lees hier alles over in dit blog. 

De kwetsbaarheden van TikTok

Het beveiligingsrisico rondom het gebruik van TikTok heeft twee oorzaken: Ten eerste verzamelt TikTok veel persoonlijke informatie van gebruikers, zoals locatiegegevens, browser geschiedenis en zoekopdrachten. Die informatie wordt gecombineerd met informatie over je gebruik van de app; aan de hand van welke filmpjes je wel- en niet leuk vindt en met de al gegeven informatie wordt een zo specifiek mogelijk profiel opgebouwd van gebruikers. Hiermee kunnen hele gerichte advertenties aangeboden worden. 

Chinese inmenging op bedrijfsvoering

Voor de meeste bedrijven lijkt het risico en de impact van Chinese inmenging op de bedrijfsvoering maar gering. Het is wel belangrijk voor bedrijven om na te denken over de beveiliging van mobiele telefoons die zakelijk worden gebruikt. Spionage is niet het enige beveiligingsrisico gerelateerd aan mobiele telefoons. 

Als mobiele telefoons onvoldoende beveiligd zijn kan er een datalek ontstaan: zonder dat medewerkers er bewust van zijn laten zij bijvoorbeeld zakelijke gegevens back-uppen naar Cloud-oplossingen als Dropbox of Google Drive. Zo raken organisaties de grip kwijt waar hun gegevens opgeslagen staan. Er zijn ook voorbeelden van phishing of ceo-fraude via Whatsapp om wachtwoorden te ontfutselen of betalingen te laten goedkeuren. Om je als organisatie tegen dit soort risico’s te beschermen moet er een beleid worden opgesteld waarin het veilig omgaan met mobiele apps wordt beschreven. Je kan daarnaast denken aan technische maatregelen als het implementeren van containerization of het beperken van toegestane apps om deze risico’s verder in te perken. 

Containerization is één van de oplossingen

Containerization is een technologie waarmee bedrijven de zakelijke gegevens en apps kunnen scheiden van de persoonlijke gegevens en apps op het mobiele apparaat. Dit wordt vaak toegepast als er sprake is van een Bring Your Own Device (‘BYOD’)-beleid. Doordat alle zakelijke gegevens in een beveiligde container worden geplaatst die wordt versleuteld en alleen toegankelijk is met een specifieke pincode, wachtwoord of biometrische gegevens blijft de data beschermd, ook al gebruiken medewerkers hun eigen privé toestel. Als de e-mails op een telefoon binnen de specifieke applicatie in zo’n container staan, kan bijvoorbeeld worden ingesteld dat zakelijke e-mails en bijlages niet op de algemene opslag van de telefoon worden opgeslagen. Dit kan door andere apps dan niet meer worden benaderd. Op die manier wordt voorkomen dat automatische back-ups naar Onedrive, Dropbox, Google Drive of iCloud van zakelijke gegevens plaatsvinden. Als het apparaat verloren of gestolen wordt is de data eveneens beschermd vanwege de encryptie, vaak kunnen de apps op dat moment op afstand worden verwijderd. 

Dit is een flexibele oplossing waarbij de eindgebruikers veel controle houden over hun (privé-) toestel, de maatregelen om zakelijke gegevens te beschermen worden beperkt tot de data zelf.
Zou een medewerker Tiktok of andere software privé gebruiken zijn er technische beperkingen waardoor de toegang tot zakelijke gegevens technisch is geblokkeerd. 

Zakelijk en privé gescheiden houden

De overheid kiest er echter voor om voortaan alléén toegestane apps op zakelijke mobiele telefoons toe te staan.
Door alleen goedgekeurde apps toe te staan, kunnen organisaties ervoor zorgen dat alleen betrouwbare apps worden gebruikt waar geen risico is op spionage of andere beveiligingsrisico’s. Ook wordt op die manier beperkt dat gevoelige informatie via onveilige apps wordt gedeeld en zou beargumenteerd kunnen worden dat medewerkers minder snel afgeleid zullen raken omdat ze geen spelletjes of andere afleidende apps op hun werktoestel kunnen installeren. 

Als dit beleid wordt toegepast op BYOD levert dit vaak veel weerstand op, medewerkers raken dan de controle over hun eigen toestel kwijt. Je ziet deze maatregel dus eigenlijk alleen bij zakelijke toestellen die door de werkgever zelf worden uitgegeven en beheerd, en ook dan levert dat weerstand op. Medewerkers lopen daardoor vaak rond met zowel een zakelijk en een privé toestel. 

Advies van Pinewood

Pinewood adviseert daarom ook als eerste te bepalen welke risico’s specifiek van toepassing zijn op de organisatie en de huidige manier waarop medewerkers een zakelijke telefoon gebruiken. Op basis van je risico’s kan je vervolgens een beleid opstellen waarin de juiste maatregelen worden vastgesteld:

  • Welk gedrag van medewerkers verwacht wordt
  • Welke technische maatregelen daarbij geïmplementeerd moeten worde

Onze Pinewood Security Consultants kunnen organisaties verder ondersteunen bij het bepalen van de relevante risico’s en maatregelen om je hiertegen te beschermen.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Training ISO/IEC 27001 Lead Implementer (Incl. PECB-certificering + examen)

Deze ISO/IEC 27001 Lead Implementer training stelt u in staat de nodige expertise te ontwikkelen om een organisatie te ondersteunen bij het opzetten, implementeren, beheren en onderhouden van een Information Security Management System (ISMS) op basis van ISO/IEC 27001. Tijdens deze training behandelen wij ook de best practices van Information Security Management Systems om de gevoelige informatie van de organisatie te beveiligen en de algemene prestaties en effectiviteit te verbeteren. Na het beheersen van alle noodzakelijke concepten van Information Security Management Systems, kunt u deelnemen aan het examen en een aanvraag indienen voor een “PECB Certified ISO/IEC 27001 Lead Implementer”. Met een PECB Lead Implementer-certificaat kunt u aantonen dat u beschikt over de volgende praktische kennis en de professionele capaciteiten hebt om ISO/IEC 27001 in een organisatie te implementeren.

Voor wie?

Managers of consultants betrokken bij informatiebeveiliging, expert adviseurs die met de implementatie van een Information, Security Management System werken, individuen die verantwoordelijk zijn voor het handhaven van de conformiteit met de ISMS-eisen en ISMS-teamleden.

Het doel van deze training

  1. De concepten, benaderingen, methoden en technieken beheersen die worden gebruikt voor de implementatie en het effectieve beheer van een ISMS
  2. Leren hoe u de ISO/IEC 27001 vereisten kunt interpreteren in de specifieke context van een organisatie
  3. Leren hoe u een organisatie kunt ondersteunen bij het effectief plannen, implementeren, beheren, bewaken en onderhouden van een ISMS
  4. Een organisatie kunnen adviseren bij de implementatie en best practices voor het beheer van informatiebeveiliging

Tijdens deze 4-daagse training behandelen we de volgende domeinen:

  • Domein 1: Fundamentele beginselen en concepten van een informatie beheer systeem voor informatiebeveiliging (ISMS)
  • Domein 2: Beheersingsmaatregelen voor informatiebeveiliging en best practices op basis van ISO/IEC 27002
  • Domein 3: Planning van een ISMS-implementatie op basis van ISO/IEC 27001
  • Domein 4: Implementatie van een ISMS op basis van ISO/IEC 27001
  • Domein 5: Prestatiebeoordeling, bewaking en meting van een op ISO/IEC 27001 gebaseerd ISMS
  • Domein 6: Continue verbetering van een ISMS op basis van ISO/IEC 27001
  • Domein 7: Voorbereiding op een ISMS-certificeringsaudit

Datum: 6, 7, 8 & 11 september 2023, 09:00 – 16:00 uur.

Waar: Delftechpark 35, Delft

Prijs: € 2495-, per deelnemer (excl. BTW). Uw inschrijving is definitief na ontvangst van de betaling.

Aanmelden:

4-daagse Training: ISO/IEC 27001 Lead Implementer

Deze ISO/IEC 27001 Lead Implementer training stelt u in staat de nodige expertise te ontwikkelen om een organisatie te ondersteunen bij het opzetten, implementeren, beheren en onderhouden van een Information Security Management System (ISMS) op basis van ISO/IEC 27001

"*" geeft vereiste velden aan

Mijn inschrijving is*

Inclusief:

  • materiaal
  • lunch
  • examen
  • examenvoucher

Extra informatie

Gebruik van eigen laptop

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Tijdens de cybersecurity-summit CPX360 op de High Tech Campus in Eindhoven werden de Check Point Partner Awards uitgereikt. Pinewood viel in de prijzen als ‘Best Overall Partner of the Year’.

“Pinewood is al sinds de jaren ‘90 partner van Check Point. Ze zijn begonnen als specialist van Check Point op Sun Solaris. Later ontwikkelden ze zich tot een allround beveiligingspartner, met focus op kwaliteit en samenwerking. Pinewood heeft de afgelopen jaren het Check Point-portfolio omarmd en was een van de eerste partners in Nederland die grote deals binnenhaalde op basis van Harmony. In combinatie met hun eigen SIEM-SOC-service zijn ze in staat om het volledige Check Point-portfolio te verkopen, implementeren en beheren. We zijn verheugd om de ‘Best Overall Partner of the Year’ award uit te reiken aan Pinewood”, aldus Arthur van Uden, Country Manager Benelux bij Check Point.

“Met deze award wordt stilgestaan bij de goede samenwerking die we al jaren met Check Point hebben. Mooi om bevestiging daarvan te krijgen in deze vorm. De gezamenlijke inspanningen hebben al bij veel klanten tot succes geleid, waardoor ik verwacht dat we ook in de toekomst dit partnerschap zullen koesteren en verder zullen uitbreiden. De producten die Check Point ontwikkelt en aanbiedt, zijn bij veel van onze klanten een welkome aanvullingen op andere security-maatregelen. In combinatie met onze brede security-expertise, de managed services en ons eigen SOC levert dit passende oplossingen op om mensen en middelen te beschermen”, aldus Sebastiaan Kors, CEO van Pinewood.

Best Overall Partner 2022 Award

Over Pinewood

Pinewood is een 100% Nederlands bedrijf en sinds 1994 specialist in cybersecurity en informatiebeveiliging. Dankzij specialistische kennis, in combinatie met een analytische aanpak van technische vraagstukken, heeft Pinewood een zeer sterke naam verworven. Pinewood richt zich niet alleen op IT, maar ook op uw business. Door de business en IT-security bij elkaar te brengen is Pinewood in staat om passende maatregelen te nemen om organisaties maximaal te beveiligen tegen ongewenste digitale indringers. Vanuit het hoogwaardige en volledig Nederlandse Security Operations Center (SOC) worden dag en nacht de kritische infrastructuren van zorginstellingen, ziekenhuizen en middelgrote ondernemingen bewaakt. Als Nederlandse security-dienstverlener wil Pinewood maximaal bijdragen aan een veiliger digitaal Nederland. Zonder concessies en volkomen transparant.

Pinewood Security Bulletin – Critical vulnerability in Microsoft Outlook

Pinewood Security Bulletin – Critical vulnerability in Microsoft Outlook

For English, see below.

Beschrijving

Microsoft heeft een update uitgebracht voor Microsoft Outlook die een ernstige kwetsbaarheid in deze e-mailclient verhelpt. De kwetsbaarheid stelt een kwaadwillende in staat om authenticatiegegevens van een gebruiker – in de vorm van een Net-NTLMv2-hash – buit te maken, zonder dat daarvoor gebruikersinteractie is vereist. Dat houdt in dat de kwetsbaarheid misbruikt kan worden door alleen een malafide e-mail te versturen naar een slachtoffer.

Bij succesvol misbruik zal Outlook een verbinding maken met een externe UNC-lokatie, onder controle van de aanvaller. Bij het maken van deze verbinding zal de client automatisch proberen in te loggen als de eindgebruiker, waarbij de gebruikersnaam en de Net-NTLMv2 wachtwoordhash bekend worden op de server van de aanvaller. Daarnaast kan de authenticatiepoging overgenomen worden en doorgezet worden naar een legitieme server om namens de gebruiker in te loggen via een zogeheten ‘NTLM relay’-aanval.

Kwetsbare Versies

De kwetsbaarheid bevindt zich in onderstaande Microsoft-producten:

  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Outlook 2013 RT Service Pack 1
  • Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
  • Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
  • Microsoft Outlook 2016 (64-bit edition)

Oplossingen en tijdelijke mitigaties

Microsoft heeft updates voor de kwetsbare producten uitgebracht waarmee deze kwetsbaarheid kan worden verholpen. Organisaties wordt dan ook aangeraden zo spoedig mogelijk deze update uit te rollen naar clients.

Hoewel er geen specifieke workarounds voor deze kwetsbaarheid zijn te implementeren, bestaan er wel een aantal best practices die uitbuiting van deze kwetsbaarheid bemoeilijken en die mogelijk al door de organisatie zijn geïmplementeerd:

  • Sta alleen essentiële verbindingen toe vanuit de infrastructuur naar het internet. Specifiek voor deze kwetsbaarheid is het van belang dat vanuit het netwerk géén verbindingen over 137/udp, 138/udp, 139/tcp en 445/tcp naar (onvertrouwde) externe IP-adressen worden toegestaan. Hou er wel rekening mee dat dit niet zomaar mogelijk is bij gebruik van Azure Files en dat deze poorten mogelijk wél geopend zijn op het moment dat een gebruiker niet verbonden is met het bedrijfsnetwerk. Dergelijke beperkingen moet men daarom ook afdwingen via de lokale (Windows) firewall.
  • Maak gebruik van maatregelen als SMB signing, LDAP signing, LDAP channel binding en HTTP Extended Protection for Authentication (EPA). Deze maatregelen voorkomen een succesvolle ‘NTLM relay’-aanval, maar voorkomen niet dat de Net-NTLMv2 wachtwoordhash uitlekt.
  • Zorg ervoor dat de WebDAV-client op systemen is uitgeschakeld of van systemen is verwijderd. Dit voorkomt dat de uitgaande verbinding over een andere poort dan 445/tcp uitgevoerd kan worden. De WebDAV-client is alleen geïnstalleerd op werkplekken, niet op servers. De WebDAV-client staat standaard uitgeschakeld, maar kan door verschillende omstandigheden automatisch ingeschakeld worden.

Detectie van mogelijk misbruik

Controle van Exchange-items

Aangezien de kwetsbaarheid al (op beperkte schaal) misbruikt werd voordat deze door Microsoft kon worden verholpen, raadt Microsoft aan om een controle uit te voeren op beschikbare Exhange-informatie om te zien of deze kwetsbaarheid al eerder is misbruikt. Deze controle biedt Microsoft aan in de vorm van een Powershell-script dat controleert of mail-, kalender- of taakitems een UNC-pad bevatten. Het script en informatie over hoe dit te gebruiken is, is terug te vinden op Github: https://github.com/microsoft/CSS-Exchange/blob/a4c096e8b6e6eddeba2f42910f165681ed64adf7/docs/Security/CVE-2023-23397.md

Uitgaande 445/tcp-verbindingen

Volgens Microsoft is specifiek het blokkeren van 445/tcp een mitigerende maatregel die kan voorkomen dat NTLM-gegevens worden verstuurd naar externe file shares. Het Pinewood SOC monitoort bij SOC-klanten al enige tijd op toegestane verbindingen naar externe IP-adressen over 445/tcp en meldt eventuele bijzonderheden die hierbij worden ontdekt. Houd er rekening mee dat misbruik mogelijk ook kan plaatsvinden via andere poorten of via bijvoorbeeld thuisnetwerken waardoor deze maatregel niet alle exploitatiepogingen zal helpen detecteren.

Meer informatie

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/

http://aka.ms/smbintercept

https://support.microsoft.com/nl-nl/topic/voorkomen-dat-smb-verkeer-later-wordt-verbonden-en-het-netwerk-binnenkomt-of-verlaat-c0541db7-2244-0dce-18fd-14a3ddeb282a

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Microsoft has released an update for Microsoft Outlook that addresses a serious vulnerability in this email client. The vulnerability allows a malicious actor to steal a user’s authentication credentials – in the form of a Net-NTLMv2 hash – without requiring any user interaction. This means that the vulnerability can be exploited simply by sending a malicious email to a victim.

If successfully exploited, Outlook will establish a connection with an external UNC location under the control of the attacker. During this connection, the client will automatically attempt to log in as the end user, revealing the username and Net-NTLMv2 password hash to the attacker’s server. Additionally, the authentication attempt can be intercepted and forwarded to a legitimate server in a so-called “NTLM relay” attack, allowing the attacker to log in on behalf of the user.

Vulnerable versions

The vulnerability can be exploited in the following Microsoft-products:

  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Outlook 2013 RT Service Pack 1
  • Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
  • Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
  • Microsoft Outlook 2016 (64-bit edition)

Solutions and workarounds

Microsoft has released updates for the vulnerable products that address this vulnerability. Organizations are advised to roll out this update to clients as soon as possible.

Although there are no specific workarounds for this vulnerability, there are several best practices that make exploitation of this vulnerability more difficult and that may already have been implemented by the organization:

  • Allow only essential connections from the infrastructure to the internet. Specifically for this vulnerability, it is important that no connections over 137/udp, 138/udp, 139/tcp, and 445/tcp to (untrusted) external IP addresses are allowed from the network. Note, however, that this may not be feasible when using Azure Files, and these ports may be open when a user is not connected to the corporate network. Such restrictions must therefore also be enforced through the local (Windows) firewall.
  • Use measures such as SMB signing, LDAP signing, LDAP channel binding, and HTTP Extended Protection for Authentication (EPA). These measures prevent a successful “NTLM relay” attack, but do not prevent the Net-NTLMv2 password hash from leaking.
  • Ensure that the WebDAV client is disabled or removed from systems. This prevents the outbound connection from being performed on a port other than 445/tcp. The WebDAV client is only installed on workstations, not on servers. The WebDAV client is disabled by default, but may be automatically enabled due to various circumstances.

Detection of possible misuse

Check the Exchange-Items

As the vulnerability was already being exploited (albeit on a limited scale) before Microsoft could fix it, Microsoft recommends checking available Exchange information to see if this vulnerability has already been exploited. Microsoft offers this verification in the form of a Powershell script that checks whether mail, calendar, or task items contain a UNC path. The script and information on how to use it can be found on Github: https://github.com/microsoft/CSS-Exchange/blob/a4c096e8b6e6eddeba2f42910f165681ed64adf7/docs/Security/CVE-2023-23397.md

Outgoing 445/tcp connections

According to Microsoft, specifically blocking 445/tcp is a mitigating measure that can prevent NTLM data from being sent to external file shares. The Pinewood SOC has been monitoring allowed connections to external IP addresses over 445/tcp for SOC clients for some time and reports any anomalies that are discovered. Keep in mind that exploitation may also occur through other ports or through home networks, so this measure will not detect all exploitation attempts.

More information

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/

http://aka.ms/smbintercept

https://support.microsoft.com/nl-nl/topic/voorkomen-dat-smb-verkeer-later-wordt-verbonden-en-het-netwerk-binnenkomt-of-verlaat-c0541db7-2244-0dce-18fd-14a3ddeb282a

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Multiple vulnerabilities fixed in Fortinet products

Pinewood Security Bulletin – Multiple vulnerabilities fixed in Fortinet products

For English, see below.

Beschrijving

Op dinsdag 7 maart 2023 heeft Fortinet bekend gemaakt dat er meerdere kwetsbaarheden zijn oplost in verschillende producten, waaronder FortiOS. De ernstigste kwetsbaarheid met een CVSS score van 9.3 (‘Kritiek’) bevindt zich in FortiOS en FortiProxy. Het gaat om een “Heap buffer underflow” kwetsbaarheid in de management webinterface (FG-IR-23-001).

De FG-IR-23-001 kwetsbaarheid maakt het in uitzonderlijke gevallen mogelijk om het systeem over te nemen (“remote code execution”), maar is in meerdere producten beperkt tot een Denial-of-Service (DoS) aanval. Fortinet heeft in de PSIRT melding een overzicht gegeven van systemen waarop uitsluitend de Denial-of-Service variant te gebruiken is. Deze systemen zijn kunnen dus niet over te nemen via deze kwetsbaarheid.

Voor zover op dit moment bekend is bij Fortinet, zijn er geen gevallen bekend van actief misbruik van de FG-IR-23-001 kwetsbaarheid.

In de bekendmaking van 7 maart is aangegeven dat de volgende kwetsbaarheden zijn opgelost:

  • FG-IR-23-001 (CVSS 9.3): FortiOS / FortiProxy – Heap buffer underflow in administrative interface
  • FG-IR-22-401 (CVSS 7.8): FortiOS / FortiProxy – Path traversal vulnerability allows VDOM escaping
  • FG-IR-22-309 (CVSS 7.8): FortiNAC – Multiple privilege escalation via sudo command
  • FG-IR-23-050 (CVSS 7.5): FortiSOAR – Improper Authorization in request headers
  • FG-IR-22-254 (CVSS 7.2): FortiWeb – command injection in webserver
  • FG-IR-22-281 (CVSS 7.1): FortiNAC – Multiple Reflected XSS
  • FG-IR-22-388 (CVSS 6.8): FortiRecorder – DoS in login authentication mechanism
  • FG-IR-22-369 (CVSS 6.5): FortiOS – Path traversal in execute command
  • FG-IR-22-477 (CVSS 6.4): FortiOS & FortiProxy – Access of NULL pointer in SSLVPNd
  • FG-IR-22-364 (CVSS 5.2): FortiOS / FortiProxy – Unauthenticated access to static files containing logging information
  • FG-IR-21-218 (CVSS 5.2): FortiWeb and FortiRecorder – Arbitrary file read through command line pipe
  • FG-IR-18-232 (CVSS 5.1): FortiManager, FortiAnalyzer, FortiPortal & FortiSwitch – Information disclosure through diagnose debug commands
  • FG-IR-22-447 (CVSS 4.6): FortiAnalyzer — the log-fetch client request password is shown in clear text in the heartbeat response
  • FG-IR-22-488 (CVSS 4.0): FortiAnalyzer – CSV injection in macro name
  • FG-IR-20-078 (CVSS 3.5): FortiAuthenticator, FortiDeceptor & FortiMail – Improper restriction over excessive authentication attempts

De rest van deze security bulletin beschrijft de FG-IR-23-001 kwetsbaarheid. Zie de PSIRT meldingen van Fortinet voor meer informatie over de andere kwetsbaarheden. Onder ‘Meer informatie’ is een link te vinden naar de website.

Kwetsbare versies

Onderstaande lijst met software en versienummers is kwetsbaar voor FG-IR-23-001 wanneer er toegang is tot de management webinterface (GUI):

  • FortiOS 7.2.0 – 7.2.3
  • FortiOS 7.0.0 – 7.0.9
  • FortiOS 6.4.0 – 6.4.11
  • FortiOS 6.2.0 – 6.2.12
  • FortiOS 6.0 (alle versies)
  • FortiProxy 7.2.0 – 7.2.2
  • FortiProxy 7.0.0 – 7.0.8
  • FortiProxy 2.0.0 – 2.0.11
  • FortiProxy 1.2 (alle versies)
  • FortiProxy 1.1 (alle versies)

Oplossingen en tijdelijke mitigaties

Fortinet adviseert om de volgende versie (of hoger) te installeren om kwetsbaarheid FG-IR-23-001 te verhelpen:

  • FortiOS 7.2.4
  • FortiOS 7.0.10
  • FortiOS 6.4.12
  • FortiOS 6.2.13
  • FortiProxy 7.2.3
  • FortiProxy 7.0.9
  • FortiProxy 2.0.12
  • FortiOS-6K7K 7.0.10
  • FortiOS-6K7K 6.4.12
  • FortiOS-6K7K 6.2.13

Let op dat FortiOS 6.0, FortiProxy 1.1 en FortiProxy 1.2 niet langer ondersteund zijn.

Als een update niet mogelijk is, dan kunnen de volgende tijdelijke mitigerende maatregelen genomen worden:

  • Schakel de HTTP(S) management interface uit
  • Beperk de interface waarop de HTTP(S) management interface actief is
  • Beperk toegang tot de HTTP(S) management interfaces door middel van Local In policies. De Local In rulebase wordt standaard niet weergegeven in de GUI, dit kan aangezet worden onder System -> Feature Visibility.
  • Stel voor alle admin users trusted hosts in

Meer informatie

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

On Tuesday 7 March 2023, Fortinet announced that multiple vulnerabilities have been resolved in various products, including FortiOS. The most serious vulnerability with a CVSS score of 9.3 (‘Critical’) is in FortiOS and FortiProxy. It concerns a “Heap buffer underflow” vulnerability in the management web interface (FG-IR-23-001).

The FG-IR-23-001 vulnerability makes it possible in exceptional cases to take over the system (“remote code execution”), but is limited to a denial-of-service (DoS) attack in several products. In the PSIRT notification, Fortinet listed systems on which only the Denial-of-Service variant can be used. These systems can therefore not be taken over via this vulnerability.

As far as Fortinet is currently aware, there are no known cases of active misuse of the FG-IR-23-001 vulnerability.

The 7 March announcement stated that the following vulnerabilities have been resolved:

  • FG-IR-23-001 (CVSS 9.3): FortiOS / FortiProxy – Heap buffer underflow in administrative interface
  • FG-IR-22-401 (CVSS 7.8): FortiOS / FortiProxy – Path traversal vulnerability allows VDOM escaping
  • FG-IR-22-309 (CVSS 7.8): FortiNAC – Multiple privilege escalation via sudo command
  • FG-IR-23-050 (CVSS 7.5): FortiSOAR – Improper Authorization in request headers
  • FG-IR-22-254 (CVSS 7.2): FortiWeb – command injection in webserver
  • FG-IR-22-281 (CVSS 7.1): FortiNAC – Multiple Reflected XSS
  • FG-IR-22-388 (CVSS 6.8): FortiRecorder – DoS in login authentication mechanism
  • FG-IR-22-369 (CVSS 6.5): FortiOS – Path traversal in execute command
  • FG-IR-22-477 (CVSS 6.4): FortiOS & FortiProxy – Access of NULL pointer in SSLVPNd
  • FG-IR-22-364 (CVSS 5.2): FortiOS / FortiProxy – Unauthenticated access to static files containing logging information
  • FG-IR-21-218 (CVSS 5.2): FortiWeb and FortiRecorder – Arbitrary file read through command line pipe
  • FG-IR-18-232 (CVSS 5.1): FortiManager, FortiAnalyzer, FortiPortal & FortiSwitch – Information disclosure through diagnose debug commands
  • FG-IR-22-447 (CVSS 4.6): FortiAnalyzer — the log-fetch client request password is shown in clear text in the heartbeat response
  • FG-IR-22-488 (CVSS 4.0): FortiAnalyzer – CSV injection in macro name
  • FG-IR-20-078 (CVSS 3.5): FortiAuthenticator, FortiDeceptor & FortiMail – Improper restriction over excessive authentication attempts

Vulnerable versions

The following list of software and version numbers is vulnerable to FG-IR-23-001 when the management web interface (GUI) is accessible:

  • FortiOS 7.2.0 – 7.2.3
  • FortiOS 7.0.0 – 7.0.9
  • FortiOS 6.4.0 – 6.4.11
  • FortiOS 6.2.0 – 6.2.12
  • FortiOS 6.0 (all versions)
  • FortiProxy 7.2.0 – 7.2.2
  • FortiProxy 7.0.0 – 7.0.8
  • FortiProxy 2.0.0 – 2.0.11
  • FortiProxy 1.2 (all versions)
  • FortiProxy 1.1 (all versions)

Solutions and workarounds

Fortinet recommends installing the following version (or later) to resolve the FG-IR-23-001 vulnerability:

  • FortiOS 7.2.4
  • FortiOS 7.0.10
  • FortiOS 6.4.12
  • FortiOS 6.2.13
  • FortiProxy 7.2.3
  • FortiProxy 7.0.9
  • FortiProxy 2.0.12
  • FortiOS-6K7K 7.0.10
  • FortiOS-6K7K 6.4.12
  • FortiOS-6K7K 6.2.13

Please note that FortiOS 6.0, FortiProxy 1.1 and FortiProxy 1.2 are no longer supported.

If an update is not possible, the following temporary mitigation measures can be taken:

  • Disable the HTTP(S) management interface
  • Restrict the interface on which the HTTP(S) management interface is active
  • Restrict access to the HTTP(S) management interfaces using Local In policies. By default, the Local In rulebase is not displayed in the GUI, this can be enabled under System -> Feature Visibility.
  • Set trusted hosts for all admin users

More information

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Een cyberaanval is een poging om ongeautoriseerde toegang te krijgen tot een computer, een computer- of telecommunicatienetwerk of een online-account, of om informatie te verkrijgen of te wijzigen zonder toestemming. Cyberaanvallen kunnen leiden tot verstoringen van de diensten die worden aangeboden, lekken van vertrouwelijke informatie of zelfs de vernietiging van gegevens. In dit artikel zullen we kijken naar hoe cyberaanvallen werken en hoe u zich kunt beschermen tegen deze dreigingen.

Er zijn veel verschillende soorten cyberaanvallen, en ze kunnen op verschillende manieren worden uitgevoerd. De meest voorkomende soorten cyberaanvallen zijn:

Phishing-aanvallen

Dit zijn aanvallen waarbij een aanvaller probeert om vertrouwelijke informatie te verkrijgen door middel van een vervalst e-mailbericht, een link of een formulier. De aanvaller kan proberen om te doen alsof hij of zij van een betrouwbare organisatie is of om te doen alsof er een noodgeval is, zoals een accountvergrendeling of een onverwacht bedrag op een rekening. Als u op de link klikt of de informatie invoert, kan de aanvaller toegang krijgen tot uw gegevens.

Malware-aanvallen

Malware is software die is ontworpen om een computer of netwerk te beschadigen of te verstoren. Er zijn veel verschillende soorten malware, waaronder virussen, Trojaanse paarden, rootkits en ransomware. Malware kan op verschillende manieren worden geïnstalleerd, zoals via een kwaadaardige link of bijlage, of door middel van een zero-day-exploit (een beveiligingslek dat nog niet bekend is bij de softwareontwikkelaar).

DDoS-aanvallen

DDoS staat voor Distributed Denial of Service. Dit zijn aanvallen waarbij een netwerk of server wordt overbelast met verkeer, waardoor het onbruikbaar wordt voor de legitieme gebruikers. DDoS-aanvallen kunnen worden uitgevoerd door middel van malware of door middel van een botnet (een groep geïnfecteerde computers die worden gecontroleerd door een aanvaller). De aanvaller kan het botnet gebruiken om verkeer naar het doelwit te sturen, waardoor het systeem overbelast raakt en niet meer in staat is om legitiem verkeer te verwerken. DDoS-aanvallen kunnen ernstige gevolgen hebben, zoals het tijdelijk onbruikbaar maken van websites of het uitvallen van diensten. Om zich te beschermen tegen DDoS-aanvallen, is het belangrijk om een sterk netwerkbeveiligingsplan te hebben en diensten te gebruiken die specifiek zijn ontworpen om DDoS-aanvallen te detecteren en te blokkeren.

SQL-injectie-aanvallen

SQL staat voor Structured Query Language en is een programmeertaal die wordt gebruikt voor het beheren van databases. Een SQL-injectie-aanval is een aanval waarbij een aanvaller kwaadaardige code injecteert in een SQL-query om toegang te krijgen tot vertrouwelijke gegevens of om wijzigingen aan te brengen aan een database.

Man-in-the-middle-aanvallen

Dit zijn aanvallen waarbij een aanvaller zich bevindt tussen twee communicatiepartners en de communicatie afluistert of wijzigt zonder dat de partijen dit weten. De aanvaller kan bijvoorbeeld proberen om een beveiligde verbinding te onderscheppen en te decoderen, of om wijzigingen aan te brengen aan de informatie die wordt verzonden.

Hoe kan een bedrijf zich beschermen tegen cyberaanvallen?

Er zijn een aantal dingen die u kunt doen om uzelf te beschermen tegen cyberaanvallen:

Gebruik een sterk wachtwoord

Zorg ervoor dat u sterke wachtwoorden gebruikt en deze regelmatig verandert. Gebruik wachtwoordbeheersoftware om uw wachtwoorden te beheren en te genereren.

Zorg voor goede beveiliging van uw netwerk

Zorg ervoor dat uw netwerk goed is beveiligd met firewalls en endpoint-protection. Zorg ervoor dat deze software regelmatig wordt bijgewerkt om te profiteren van de nieuwste beveiligingsupdates.

Wees voorzichtig met links en bijlagen

Klik niet op links en download geen bijlagen van onbekende afzenders. Als u twijfelt, neem dan contact op met de afzender om te controleren of het bericht legitiem is.

Maak regelmatig back-ups

Maak regelmatig back-ups van uw gegevens om ervoor te zorgen dat u deze kunt terughalen in het geval van een aanval. Zorg ervoor dat de back-ups op een beveiligde locatie worden opgeslagen.

Maak gebruik van beveiligingsoplossingen

Er zijn veel verschillende beveiligingsoplossingen beschikbaar, zoals intrusion prevention systems (IPS) en security information and event management (SIEM) software. Deze oplossingen kunnen helpen om cyberaanvallen te detecteren en te voorkomen.

Maak gebruik van een SOC (Security Operations Center)

Een SOC is een team van beveiligingsexperts dat 24/7 beveiligingsincidenten monitort en behandelt. Een SOC kan helpen om cyberaanvallen te detecteren en te voorkomen, en kan ook helpen bij het opsporen van beveiligingslekken en het uitvoeren van incidentenonderzoek. Een SOC maakt gebruik van geavanceerde beveiligingstools en -technieken om de beveiliging van een organisatie te verbeteren en te garanderen dat de organisatie voldoet aan de beveiligingsvoorschriften en -regelgeving. Als u overweegt om een SOC in te zetten, is het belangrijk om te kiezen voor een leverancier met ervaring en een goede reputatie in de branche.

Maak gebruik van multi-factor authenticatie

Multi-factor authenticatie vereist dat een gebruiker naast een wachtwoord ook een andere vorm van verificatie gebruikt, zoals een code die naar een mobiele telefoon wordt verzonden of een biometrische scan. Dit vergroot de beveiliging omdat een aanvaller zowel het wachtwoord als de andere vorm van verificatie zou moeten stelen om toegang te krijgen.

Wees voorzichtig met openbare wifi-netwerken

Openbare wifi-netwerken zijn vaak minder goed beveiligd dan privé-netwerken en kunnen een makkelijk doelwit zijn voor aanvallers. Als u openbare wifi moet gebruiken, zorg ervoor dat u een virtueel privé-netwerk (VPN) gebruikt om uw verbinding te beveiligen.

Zorg ervoor dat uw software is bijgewerkt

Houd al uw software bij, zoals uw besturingssysteem, browsers en andere programma’s. Beveiligingsupdates bevatten vaak patches voor bekende beveiligingslekken en het is belangrijk om deze te installeren om uw systemen te beschermen.

Wees voorzichtig met persoonlijke informatie

Deel alleen vertrouwelijke informatie met betrouwbare bronnen en wees voorzichtig met wie u uw persoonlijke gegevens deelt, zoals uw adres, telefoonnummer en financiële informatie.

Kortom, cyberaanvallen zijn een steeds groter wordend probleem en het is belangrijk om voorbereid te zijn om uzelf te beschermen. Door sterk wachtwoordbeleid te hanteren, goede beveiliging voor uw netwerk te zorgen, voorzichtig te zijn met links en bijlagen, regelmatig back-ups te maken, beveiligingsoplossingen te gebruiken, gebruik te maken van een SOC, multi-factor authenticatie te gebruiken, voorzichtig te zijn met openbare wifi-netwerken, uw software bij te werken en voorzichtig te zijn met persoonlijke informatie, kunt u uzelf beschermen tegen cyberaanvallen en uw bedrijf en klanten beschermen tegen de gevolgen ervan.

ISO/IEC 27001:2022 – Een nieuw tijdperk voor informatiebeveiliging. Wat verandert er?

In de laatste week van oktober 2022 heeft ISO/IEC een nieuwe versie van de veelgebruikte norm voor informatiebeveiliging ISO/IEC 27001 uitgebracht (ISO/IEC 27001:2022). Deze nieuwe ISO versie biedt allerlei organisaties, sectoren en locaties een geüpdatet kader om het steeds complexere dreigingslandschap aan te pakken. Wat zijn de belangrijkste veranderingen en wat zijn de gevolgen voor organisaties die met ISO/IEC 27001 aan de slag gaan? We zetten het allemaal voor je op een rij.

Waarom deze wijziging?

Om bij te blijven bij de veranderingen op het gebied van security wordt de norm om de vijf jaar aangepast. De nieuwe lijst van ISO/IEC 27001:2022 is een soort best practice guide om informatiebeveiliging te verbeteren. Het is de bedoeling dat organisaties door middel van een risicoanalyse zelf maatregelen selecteren. Deze belangrijke update is bedoeld om:

  • meer duidelijkheid, focus en verantwoordelijkheid voor informatiebeveiliging binnen een organisatie te bereiken;
  • een beter begrip te creëren omtrent de toe te passen beveiligingspraktijken;
  • de bestaande controlset te updaten naar aanleiding van de technologische ontwikkelingen;
  • een betere aansluiting te vinden tussen proces en implementatie.

Wat ga je merken van deze update?

Organisatie krijgen te maken met nieuwe geautomatiseerde eisen. In het traject van de certificering moet met deze eisen rekening gehouden worden. Certificering volgens vorige norm is niet meer mogelijk, na de overgangsperiode. Organisaties krijgen hier 3 jaar de tijd voor. De veranderingen hebben dus op korte termijn geen impact op de huidige certificering.

Voor de organisaties die nog niet gecertificeerd zijn, maar wel de ambitie hebben dit in de toekomst te realiseren, wordt aanbevolen de meest recente versie als leidraad aan te houden.

Wat is het verschil met de oude versie?

De norm ISO 27001 is geactualiseerd. Het belangrijkste verschil is dat de Annex A in lijn is gebracht met de eerder dit jaar gepubliceerde norm ISO 27002. Daarnaast is een aantal kleine aanpassingen doorgevoerd, die hieronder kort aan bod komen:

4 duidelijke thema’s

De nieuwe versie van de ISO 27001-norm helpt organisaties de controles doeltreffender te beheren door ze te groeperen in vier duidelijke thema’s: Organisatorisch, Persoonsgericht, Technologisch en Fysiek

Cybersecurity en privacybescherming

De titel is aangepast, en verwijst nu ook naar cybersecurity en privacybescherming. In het algemeen zijn de hoofdstukken 4 tot en met 10 niet fundamenteel aangepast (op wat kleine technische aanpassingen na). Er is een aantal nieuwe eisen gesteld in artikels 4.2, 6.2, en 6.3.

Belangen stakeholders

In artikel 4.2 moet een organisatie de relevante belanghebbende partijen identificeren. In aanvulling daarop vereist de nieuwe norm dat een organisatie ook aangeeft hoe de belangen van die stakeholders met het ISMS worden ingevuld.

Doelen

De doelen van informatiebeveiliging en de manier waarop die doelen bereikt zullen worden moeten in lijn met de eisen van artikel 6.2 beschreven worden. Nieuw is nu dat ook moet worden aangegeven hoe de doelen beoordeeld worden, en dat de doelen ook beschreven worden.

Controle wijzigingen ISMS

Als een organisatie wijzigingen wil aanbrengen aan het ISMS, dan moet volgens het nieuwe artikel 6.3 de wijziging uitgevoerd worden op een gecontroleerde wijze, waarbij rekening wordt gehouden met de aanleiding voor de wijziging, de mogelijke gevolgen, de beschikbaarheid van resources en de mogelijke aanpassing van verantwoordelijkheden.

Minder beheersmaatregelen

Annex A van ISO 27001 is in lijn gebracht met ISO 27002:2022. Dat betekent dat de 114 beheersmaatregelen zijn teruggebracht naar 95. Ook verschijnen enkele nieuwe beheersmaatregelen en worden ze anders gegroepeerd. De maatregelen zijn nu gecategoriseerd in vier groepen: organisatorisch, persoonsgericht, fysiek en technisch. De nieuwe maatregelen in ISO 27002:2022 vinden we ook terug in de bijgewerkte Annex:

  • Bedreigingsinformatie (5.7);
  • Informatiebeveiliging bij het gebruik van cloud diensten (5.23);
  • ICT-gereedheid voor bedrijfscontinuïteit (5.30);
  • Fysieke beveiligingsmonitoring (7.4);
  • Configuratiebeheer (8.9);
  • Informatie verwijderen (8.10);
  • Gegevensmaskering (8.11);
  • Voorkomen van datalekken (8.12);
  • Bewaken van activiteiten (8.16);
  • Webfiltering (8.23);
  • Veilig programmeren (8.28).

Wat is het overgangstermijn?

Voor de transitie naar de nieuwe Annex A geldt een overgangstermijn van drie jaar. In deze periode zijn beide versies geldig en certificeerbaar. Dit betekent dat een snelle overgang naar de nieuwe set met beheersmaatregelen mogelijk is, maar ook dat de volgende audit nog op de oude versie gedaan kan worden. In de tussentijd kunnen organisatie en processen aangepast worden aan de nieuwe beheersmaatregelen. Bestaande certificaten moeten voor 1 november 2025 naar de nieuwe versie zijn overgezet.

Wat zijn de belangrijke eerste stappen?

De publicatie en implementatie van de nieuwe ISO-normen kan veel vragen oproepen voor organisaties. Pinewood adviseert om de volgende stappen te nemen:

  • De beoogde iteratie van de ISO 27001 zou geen rol moeten spelen in de keuze om wel of niet een certificering te behalen. Bepaal als organisatie allereerst wat de prioriteit heeft voor het huidige certificeringstraject. Maak bijvoorbeeld een kosten-batenanalyse;
  • Kennis maken met de inhoud en eisen van de nieuwe versies;
  • Train het personeel en zorg ervoor dat de belangrijkste veranderingen en eisen worden begrepen;
  • Voer een beknopte gap-analyse uit om gebieden te identificeren die aandacht behoeven;
  • Neem actie om de gaps op te lossen en om het ISMS te laten voldoen aan de nieuwe eisen.

Hoe kunnen wij ondersteunen?

De consultants van Pinewood staan voor je klaar om te helpen. Neem contact op als u meer informatie wil.

Download hier het whitepaper: Wat zijn de tien stappen voor een succesvolle overgang naar ISO 27001:2022?

 

Vijf stappen naar een cyberweerbare organisatie

Met het toenemende gebruik van digitale technologie worden organisaties steeds vaker het doelwit van cyberaanvallen. Het is daarom belangrijk om ervoor te zorgen dat uw organisatie weerbaar wordt tegen deze risico’s. Maar hoe doet u dat? In deze blog geven we u vier stappen die u kunt volgen om een cyberweerbare organisatie te creëren.

soc implementatie stappen plan

 

Stap 1: Voer een risicoanalyse uit

Voordat u kunt beginnen met het verbeteren van de cyberweerbaarheid van uw organisatie, is het belangrijk om te weten waar de grootste risico’s liggen. Hiervoor kunt u een risicoanalyse uitvoeren. Dit kan intern worden gedaan door uw IT-team, maar u kunt ook een externe specialist inschakelen om het proces te begeleiden. Tijdens de risicoanalyse worden de zwakke punten van uw organisatie op het gebied van cyberbeveiliging geïdentificeerd.

Zo kunt u assessment laten doen van de cyberweerbaarheid van de organisatie. Tijdens zo’n assessment worden onder andere kritieke activa, systemen en operaties geïdentificeerd, beleid en procedures geëvalueerd en responsbereidheid beoordeeld. Hierdoor krijgt u inzicht in de grootste risico’s en kwetsbaarheden en kunt u strategische beslissingen nemen om deze aan te pakken. Het assessment helpt ook om de organisatiedoelen in balans te brengen met cyberrisico’s en aan aandeelhouders, toezichthouders en rechtspersonen te laten zien dat er due diligence is uitgevoerd om de cyberweerbaarheid veilig te stellen.

Stap 2: Stel een beleid op

Zodra u weet waar de grootste risico’s liggen, kunt u een beleid opstellen om deze risico’s te beheren. Dit beleid kan bestaan uit richtlijnen voor wachtwoordbeheer, toegangscontroles en het opleiden van medewerkers over hoe ze kunnen voorkomen dat ze slachtoffer worden van phishing-aanvallen en andere cyberdreigingen. Zorg ervoor dat het beleid duidelijk is voor alle medewerkers en houd het regelmatig bij om ervoor te zorgen dat het up-to-date blijft.

Het opstellen van een beleid is een belangrijke stap in de richting van een cyberweerbare organisatie. Het beleid dient als basis voor de implementatie van technische en organisatorische maatregelen en de bewustwording van medewerkers. Het beleid dient ook als richtinggevend voor incidentresponse, recovery en continuïteit van de bedrijfsvoering. Daarnaast moet het beleid ook regelmatig worden geëvalueerd en bijgesteld om ervoor te zorgen dat het aansluit op de veranderende risico’s en naleving van wet- en regelgeving.

Stap 3: Investeer in technologie

Investeren in de juiste technologie is dan ook een belangrijke stap in de richting van een cyberweerbare organisatie. Hierbij kan gedacht worden aan het implementeren van firewalls, het gebruik van beveiligde servers en endpoint bescherming. Het is echter belangrijk om te realiseren dat technologie snel verouderd kan raken als het gaat om adequate beveiliging. Dit betekent dat het regelmatig evalueren of de huidige technologie nog voldoet aan de behoeften van de organisatie van groot belang is.

Daarnaast is het ook belangrijk om te investeren in security-oplossingen die geautomatiseerd kunnen werken, zoals next-generation firewalls, intrusion detection & prevention, security informatie- en eventmanagement (SIEM), en cloud-based security-oplossingen. Deze oplossingen zijn in staat om real-time gegevens te analyseren en kunnen daardoor sneller detecteren en reageren op cyberdreigingen.

Stap 4: Onderhoud een culturele verandering

Voor de effectiviteit van cybersecurity is het belangrijk om een cultuur van cyberweerbaarheid binnen uw organisatie te creëren. Dit kan worden gedaan door middel van het opleiden van medewerkers over hoe ze cyberdreigingen kunnen voorkomen en het aanmoedigen van een veiligheidsbewustzijn op het werk. Zoek manieren om de medewerkers te betrekken bij het beleid voor cyberweerbaarheid, bijvoorbeeld door middel van trainingen en oefeningen.

Een ander belangrijk aspect van het behouden van een culturele verandering is het ontwikkelen van een plan voor hoe te reageren op een cyberincident. Dit kan bestaan uit het opstellen van richtlijnen voor hoe te reageren op een cyberincident, het opleiden van medewerkers over wat ze moeten doen als er een incident plaatsvindt en het werken met externe specialisten om te helpen bij het herstellen van de systemen na een aanval.

Stap 5: Monitoren en bijstellen

Nadat deze vier stappen zijn gezet, is het belangrijk om de cyberbeveiliging van uw organisatie continu te monitoren en bij te stellen. Dit kan door middel van regelmatige controles, zoals penetration testing en security audits, om ervoor te zorgen dat de technologie up-to-date is en de beleidsmaatregelen effectief zijn.

Het is ook belangrijk om de laatste ontwikkelingen en trends op het gebied van cyberbeveiliging te blijven volgen, zoals nieuwe dreigingen en technologieën, en deze in overweging te nemen bij het bijstellen van de beveiligingsmaatregelen. Ook kan het een goed idee zijn om regelmatig interne oefeningen te doen, zoals incident simulations, om ervoor te zorgen dat medewerkers voorbereid zijn op een eventueel incident. Door deze vijf stappen te volgen, kunt u ervoor zorgen dat uw organisatie zo cyberweerbaar mogelijk is.

Wilt u meer weten of hulp bij het cyberweerbaarder maken van uw organisatie? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Pinewood Security Bulletin – ManageEngine critical vulnerability

Pinewood Security Bulletin – ManageEngine critical vulnerability – CVE-2022-47966

For English, see below

Beschrijving

Recentelijk is een kwetsbaarheid in Zoho ManageEngine-producten aan het licht gekomen, welke door het NCSC is ingeschaald als high/high. Het betreft CVE-2022-47966, een kwetsbaarheid die op afstand – en zonder authenticatie – kan worden uitgebuit voor het uitvoeren van willekeurige code. Afhankelijk van het specifieke ManageEngine product is deze kwetsbaarheid uitbuitbaar als SAML single-sign-on momenteel ingeschakeld is, of ooit ingeschakeld is geweest. De kwetsbaarheid maakt het mogelijk om op afstand willekeurige code uit te voeren met systeemrechten. Op deze manier kan een kwetsbaar systeem volledig worden overgenomen en kwaadaardige software worden geïnstalleerd zoals ransomware. Hoewel er op dit moment nog geen melding is gemaakt van actief misbruik, hebben onderzoekers van Horizon3 aangegeven binnenkort voorbeeldcode uit te geven waarmee deze kwetsbaarheid kan worden misbruikt. Het uitbrengen van deze code vergroot de kans op – grootschalig – misbruik van deze kwetsbaarheid.

Kwetsbare versies

Updates voor kwetsbare producten zijn in oktober en november van 2022 uitgebracht.

Producten die kwetsbaar zijn als SAML SSO momenteel is ingeschakeld:

Access Manager Plus  | 4307 en eerder

Analytics Plus | 5140 en eerder

Application Control Plus | 10.1.2220.17 en eerder

Browser Security Plus | 11.1.2238.5 en eerder

Device Control Plus | 10.1.2220.17 en eerder

Endpoint Central | 10.1.2228.10 en eerder

Endpoint Central MSP | 10.1.2228.10 en eerder

Endpoint DLP | 10.1.2137.5 en eerder

Key Manager Plus | 6400 en eerder

OS Deployer | 1.1.2243.0 en eerder

PAM 360 | 5712 en eerder

Password Manager Pro | 12123 en eerder

Patch Manager Plus | 10.1.2220.17 en eerder

Remote Access Plus | 10.1.2228.10 en eerder

Remote Monitoring and Management (RMM) | 10.1.40 en eerder

Vulnerability Manager Plus | 10.1.2220.17 en eerder

 

Producten die kwetsbaar zijn als SAML SSO ooit is ingeschakeld:

Active Directory 360 | 4309 en eerder

ADAudit Plus | 7080 en eerder

ADManager Plus | 7161 en eerder

ADSelfService Plus | 6210 en eerder

Asset Explorer | 6982 en eerder

ServiceDesk Plus | 14003 en eerder

ServiceDesk Plus MSP | 13000 en eerder

SupportCenter Plus | 11017 tot 11025

 

Oplossing en workarounds

Pinewood volgt het advies van ManageEngine om de kwetsbare versies bij te werken naar de meest recente, niet-kwetsbare versie. Deze staan beschreven op https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html. Naast het advies op kwetsbare versies uit te faseren, adviseert Pinewood ook om kwetsbare apparaten te onderzoeken op sporen van misbruik.

Detectie van mogelijk misbruik

De onderzoekers van Horizon3 hebben Indicators of Compromise (IoC’s) vrijgegeven om te kunnen onderzoeken of een compromittatie mogelijk al heeft plaatsgevonden. Hierin worden de logs van twee producten beschreven: ManageEngine ServiceDesk Plus 14003 en ManageEngine Endpoint Central 10.1.2228.10. De onderzoekers geven daarbij aan dat andere kwetsbare ManageEngine producten mogelijk dezelfde IoC-logs bevatten, maar dat hebben ze nog niet kunnen bevestigen. De logs van deze producten zijn te vinden in de “logs” folder van de installatiefolder, bijvoorbeeld C:\Program Files\ManageEngine\ServiceDesk\logs.

De benoemde IoC binnen de logs is als volgt:

[tijd]|[datum]|[SYSERR]|[INFO]|[59]: com.adventnet.authentication.saml.SamlException: Signature validation failed. SAML Response rejected|

Een dergelijke logregel wordt veroorzaakt omdat een aanvaller een SAML request moet maken met een ongeldige signature om de kwetsbaarheid uit te buiten.

Meer informatie

NCSC advisory: https://advisories.ncsc.nl/advisory?id=NCSC-2023-0023

DTC post: https://www.digitaltrustcenter.nl/nieuws/kans-op-misbruik-kwetsbaarheid-zoho-manageengine

Horizon3 IoC onderzoek: https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/

ManageEngine patch-lijst: https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION========

Description

Recently, a vulnerability in Zoho ManageEngine products has come to light, which has been classified by the NCSC as high/high. It concerns CVE-2022-47966, a vulnerability that can be exploited remotely and without authentication to execute arbitrary code. Depending on the specific ManageEngine product, this vulnerability is exploitable if SAML single-sign-on is currently enabled or has ever been enabled. The vulnerability allows for the remote execution of arbitrary code with system privileges. In this way, a vulnerable system can be completely taken over and malicious software can be installed, such as ransomware. Although there is currently no report of active abuse, researchers from Horizon3 have indicated that they will release sample code soon that can be used to exploit this vulnerability. The release of this code increases the likelihood of large-scale abuse of this vulnerability.

Vulnerable versions

Updates for vulnerable products were released in October and November of 2022.

Products that are vulnerable if SAML SSO is currently enabled:

Access Manager Plus | 4307 and earlier

Analytics Plus | 5140 and earlier

Application Control Plus | 10.1.2220.17 and earlier

Browser Security Plus | 11.1.2238.5 and earlier

Device Control Plus | 10.1.2220.17 and earlier

Endpoint Central | 10.1.2228.10 and earlier

Endpoint Central MSP | 10.1.2228.10 and earlier

Endpoint DLP | 10.1.2137.5 and earlier

Key Manager Plus | 6400 and earlier

OS Deployer | 1.1.2243.0 and earlier

PAM 360 | 5712 and earlier

Password Manager Pro | 12123 and earlier

Patch Manager Plus | 10.1.2220.17 and earlier

Remote Access Plus | 10.1.2228.10 and earlier

Remote Monitoring and Management (RMM) | 10.1.40 and earlier

Vulnerability Manager Plus | 10.1.2220.17 and earlier

 

Products that are vulnerable if SAML SSO has ever been enabled:

Active Directory 360 | 4309 and earlier

ADAudit Plus | 7080 and earlier

ADManager Plus | 7161 and earlier

ADSelfService Plus | 6210 and earlier

Asset Explorer | 6982 and earlier

ServiceDesk Plus | 14003 and earlier

ServiceDesk Plus MSP | 13000 and earlier

SupportCenter Plus | 11017 to 11025

Solutions and workarounds

Pinewood is following the advice of ManageEngine to update the vulnerable versions to the latest, non-vulnerable version. These are described on https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html. In addition to the advice to phase out vulnerable versions, Pinewood also advises to investigate vulnerable devices for signs of abuse.

Detection of possible abuse

The researchers from Horizon3 have released Indicators of Compromise (IoCs) to investigate whether a compromise may have occurred. This includes the logs of two products: ManageEngine ServiceDesk Plus 14003 and ManageEngine Endpoint Central 10.1.2228.10. The researchers indicate that other vulnerable ManageEngine products may contain the same IoC logs, but they have not yet been able to confirm this. The logs of these products can be found in the “logs” folder of the installation folder, for example C:\Program Files\ManageEngine\ServiceDesk\logs.

The specified IoC within the logs is as follows:

[time]|[date]|[SYSERR]|[INFO]|[59]: com.adventnet.authentication.saml.SamlException: Signature validation failed. SAML Response rejected|

In order for an attacker to execute this RCE, they will need to craft a SAML request with an invalid signature hence the exception.

Extra info

NCSC advisory (dutch): https://advisories.ncsc.nl/advisory?id=NCSC-2023-0023

DTC post (dutch): https://www.digitaltrustcenter.nl/nieuws/kans-op-misbruik-kwetsbaarheid-zoho-manageengine

Horizon3 IoC research: https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/

ManageEngine patch list: https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html

Questions

For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015- 251 3633) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl