Únik informací z MZV, aneb řešení pro zákazníky Varonisu

všichni jste již určitě zaregistrovali kauzu průniku do emailu pana ministra Zaorálka a dalších zaměstnanců samotného úřadu. Na Ministerstvu zahraničních věcí, ovšem nedošlo pouze k letmému průniku do poštovní schránky, ale o detailní sledování 168 poštovních schránek více než rok, aniž by si toho kdokoliv všiml.

Achillovou patou Ministerstva zahraničních věcí byl jeden z administrátorských poštovních účtů admin5. Zatím není jisté, jak útočníci získali jeho přihlašovací údaje, zdá se, že opravdu stačilo sehnat login a heslo – třeba jen sociálním inženýringem, phishingem aj.

Rádi bychom Vám touto cestou nabídli krátký návod, jak si pomocí Varonisu provést rychlý audit oprávnění uživatelů a skupin na poštovní schránky, jež nejsou těmito skupinami a účty vlastněny.

K tomuto účelu slouží ve Varonisu report 04.m.01 Permissions for Users and Groups Other than the Mailbox Owner, který zkonfiguruje následujícím způsobem:

  • Filters (Priloha 1)
    • File server vybereme Exchange
    • Object type vybereme Mailbox
  • Columns (Priloha 2)
    • File Server
    • Access Path
    • SAM Account Name
    • Current Permissions
    • Enabled Stale Account
    • User with Password that Never Expires

Výsledkem bude výpis poštovních schránek a cizích oprávnění k nim. U účtů (nikoliv skupin) vidíme rovnou, zdali se jedná o účet s neexpirujícím heslem nebo účet, který se již nějakou dobu nevyužíván. Doporučujeme se zaměřit na skupiny Administrators, Domain admins, Enterpise Admins, apod.

Dále je samozřejmě možnost pomocí dalších reportů analyzovat členy skupin a další libovolné údaje.

 

Těm šťastnějším z Vás, kteří disponujete také modulem Varonis DatAlert, by ve stejném případě, jako se stal na Ministerstvu zahraničních věcí, reagoval např. některý z těchto základních alertů:

3 – Abnormal service behavior: access to atypical mailboxes (May indicate unauthorized attempt to exploit service privileges to gain access to data assets. The user’s actions are compared to his behavioral profile and an alert is created when a deviation is discovered.)

5 – Abnormal admin behavior: access to atypical mailboxes (May indicate unauthorized attempt to exploit admin privileges to gain access to data assets. The user’s actions are compared to his behavioral profile and an alert is created when a deviation is discovered.)

12 – Suspicious mailbox activity: multiple messages marked as unread by user other than the mailbox owner (May indicate unauthorized mail access, exfiltration and obfuscation.)

 V případě jakýchkoli nejasností se na nás neváhejte obrátit.