For English, see below.
BeschrijvingDe afgelopen tijd ziet het Pinewood Security Operations Center (SOC) dat aanvallers er regelmatig in slagen om accounts binnen de Microsoft cloudomgevingen van organisaties over te nemen. De Microsoft cloud is populair, en het is dan ook geen verrassing dat aanvallers zeer geïnteresseerd zijn in de accounts die zich hierin bevinden (geconfigureerd in Microsoft Entra ID, voorheen Azure AD). Het succesvol overnemen van een account kan grote consequenties hebben. Immers, het verkrijgen van toegang tot een dergelijk account stelt een aanvaller in staat om bijvoorbeeld malafide e-mails uit naam van de eigenaar te versturen (Exchange Online) en om vertrouwelijke bestanden in te zien (SharePoint/OneDrive). Verschillende vragen komen dan ook naar boven: hoe kan dit gebeuren, hoe kun je het detecteren, wat gebeurt er na een succesvolle aanval, wat moet je doen als het misgaat en wat kun je doen om het te voorkomen? Hoe kan dit gebeuren?Bij vrijwel alle incidenten die het Pinewood SOC de afgelopen tijd heeft gezien, startte een succesvolle inbraak op een account met een zogenoemde Actor-in-the-Middle aanval, kortweg AitM-aanval. Een AitM-aanval is vergelijkbaar met een traditionele phishingaanval, met het verschil dat de aanvaller de gegevens die het slachtoffer invoert op een phishingwebsite niet alleen verzamelt, maar óók direct ter verificatie doorstuurt naar Microsoft. Daardoor krijgt het slachtoffer bijvoorbeeld ook gewoon een verzoek te zien in zijn/haar Authenticator app om de inlogactiviteit te bevestigen. Zodra het slachtoffer dit heeft gedaan, beschikt de aanvaller niet alleen over de gebruikersnaam en wachtwoord van het slachtoffer, maar ook over een session token én een refresh token. Met deze tokens kan de aanvaller zich toegang blijven verschaffen tot het account van het slachtoffer (standaard gedurende 90 dagen), zonder dat de aanvaller daarvoor opnieuw hoeft in te loggen. Hoe kun je het detecteren?Het detecteren van malafide inlogpogingen op een account kan vrij complex zijn. Gelukkig levert Microsoft binnen Entra ID Protection diverse alarmen die helpen om een mogelijke inbraak op een account te detecteren. Het belangrijkste alarm hierbij is Atypical travel: volgens de beschrijving van Microsoft gaat dit alarm af wanneer een gebruiker vanaf twee geografisch verschillende locaties inlogt, waarbij minstens één van deze locaties atypisch is voor de gebruiker. Stel bijvoorbeeld dat een gebruiker normaal gesproken altijd inlogt vanaf zijn thuisnetwerk en vanaf het netwerk van zijn werkgever, terwijl de gebruiker nu plotseling inlogt vanaf een adres in Nigeria. Dit is typisch een situatie die een atypical travel alarm triggert en wat een indicatie vormt dat een aanvaller mogelijk misbruik maakt van het account van de gebruiker. Natuurlijk bestaan er meer manieren om inbraak op een account te detecteren (en meer manieren om op een account in te breken). Het Pinewood SOC heeft de afgelopen maanden dan ook diverse aanvullende detectieregels geïmplementeerd die moeten helpen om malafide gebruik van een account in een zo’n vroeg mogelijk stadium vast te stellen. Wat gebeurt er na een succesvolle aanval?Nadat een aanvaller succesvol toegang weet te krijgen tot het account van een slachtoffer, kunnen er allerlei verschillende activiteiten volgen. Veel is hierbij afhankelijk van de intenties van de aanvaller. Om een idee te geven, zijn hier wat mogelijke scenario’s:
Wat moet je doen als het misgaat?Op het moment dat een account in handen van een aanvaller valt, is het allereerst van groot belang om dit zo snel mogelijk vast te stellen. Het spreekt voor zich dat de schade het kleinst is als de aanvaller al snel weer de toegang tot een account kwijtraakt. Na het vaststellen van misbruik van een account raden wij aan om standaard een aantal stappen uit te voeren:
Hoe kun je het voorkomen?Het is cliché, maar voorkomen blijft altijd beter dan genezen. Er zijn verschillende manieren waarop een organisatie succesvolle aanvallen kan voorkomen. Wij raden dan ook aan nog eens kritisch naar de inrichting van de Microsoft-tenant van de organisatie te kijken en daar waar mogelijk verbeteringen door te voeren. Ga er daarnaast vanuit dat een aanvaller er altijd in kan blijven slagen om een account over te nemen en dat een goede detectie van malafide activiteiten op accounts daarom een essentieel vangnet blijft. Multifactor-authenticatieHet spreekt tegenwoordig voor zich dat multifactor-authenticatie standaard moet zijn. Het beschermen van een account op basis van alleen een gebruikersnaam en wachtwoord is uitermate onveilig en zal men alleen op basis van hele stringente restricties mogen toestaan (bijvoorbeeld gebruik van een serviceaccount vanuit één IP-adres). Daarnaast biedt Microsoft tegenwoordig de mogelijkheid tot “MFA number matching”, waarbij de gebruiker een code moet invoeren bij het aanroepen van de multifactor-authenticatie. Uiteraard raden wij het gebruik hiervan sterk aan (sinds mei 2023 is dit ook de standaardoplossing vanuit Microsoft). Verder heeft het gebruik van phishing-resistente MFA-oplossingen de voorkeur boven de oplossingen die wél gevoelig zijn voor phishing, zeker voor het beveiligen van administratieve accounts. Onder phishing-resistente MFA-oplossingen vallen FIDO2 security keys, Windows Hello for Business en certificaatauthenticatie. Conditional accessVia conditional access biedt Microsoft de mogelijkheid om aanvullende restricties op te leggen aan inlogactiviteiten op de Microsoft-tenant van de organisatie. Specifiek voor het voorkomen van een aanval zoals beschreven in dit artikel, raden wij het volgende aan:
Tot slotAanvallers zullen continu op zoek blijven gaan naar nieuwe manieren om gebruikersaccounts over te nemen. Veel beveiligingsmaatregelen die Microsoft en klantorganisaties implementeren, leiden uiteindelijk vaak weer tot nieuwe aanvalsmethodieken waarmee de aanvallers pogen deze maatregelen te omzeilen. Het is dan ook belangrijk om de beveiliging van een omgeving continu up-to-date te houden en gebruik te blijven maken van de laatste mogelijkheden en inzichten om succesvolle aanvallen zoveel mogelijk te voorkomen. Meer informatie
VragenVoor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl. ===== ENGLISH ===== DescriptionRecently, the Pinewood Security Operations Center (SOC) has seen attackers regularly succeed in taking over accounts within organizations’ Microsoft cloud environments. The Microsoft cloud is popular, so it is no surprise that attackers are very interested in the accounts contained within it (configured in Microsoft Entra ID, formerly Azure AD). Successfully taking over an account can have major consequences. After all, gaining access to such an account allows an attacker to, for example, send malicious emails in the owner’s name (Exchange Online) and access confidential files (SharePoint/OneDrive). Several questions therefore arise: how can this happen, how can you detect it, what happens after a successful attack, what should you do if an account gets compromised and what can you do to prevent it? How can this happen?In almost all of the incidents the Pinewood SOC has seen recently, a successful break-in to an account started with what is known as an Actor-in-the-Middle attack, or AitM attack for short. An AitM attack is similar to a traditional phishing attack, except that the attacker not only collects the data the victim enters on a phishing website, but also sends it directly to Microsoft for verification. As a result, the victim also will receive e.g. a prompt in his/her Authenticator app to confirm the login activity. Once the victim has done this, the attacker not only possesses the victim’s username and password, but also a session token and a refresh token. With these tokens, the attacker can continue to gain access to the victim’s account (by default for 90 days), without the need to log in again. How can you detect it?Detecting rogue login attempts to an account can be quite complex. Fortunately, Microsoft provides several alarms within Entra ID Protection that can help detect a potential intrusion into an account. The most important alarm here is Atypical travel: according to Microsoft’s description, this alarm triggers when a user logs in from two geographically different locations, with at least one of these locations being atypical for the user. For example, suppose a user normally always logs in from his home network and from his employer’s network, and now the user suddenly logs in from an address in Nigeria. This is typically a situation that triggers an atypical travel alarm and which is an indication that an attacker may be abusing the user’s account. Of course, there are more ways to detect account intrusions (and more ways to break into an account). Accordingly, the Pinewood SOC has implemented several additional detection rules in recent months to help identify malicious use of an account at the earliest possible stage. What happens after a successful attack?After an attacker successfully manages to gain access to a victim’s account, a variety of different activities may follow. Much here depends on the attacker’s intentions. To give you an idea, here are some possible scenarios:
What should you do if an account gets compromised?First of all, the moment an account falls into the hands of an attacker, it is very important to determine this as soon as possible. Obviously, the damage is the least if the attacker quickly loses access to an account again. After determining that an account has been compromised, we recommend a number of standard steps:
How can you prevent it?It’s cliché, but prevention is always better than cure. There are several ways in which an organization can prevent successful attacks. We therefore recommend taking another critical look at the organization’s Microsoft tenant setup and making improvements where possible. In addition, assume that an attacker can always succeed in taking over an account and that proper detection of malicious activity on accounts therefore remains an essential safety net. Multifactor authenticationIt goes without saying these days that multifactor authentication should be standard. Protecting an account based only on a username and password is extremely insecure and should only be allowed on the basis of very stringent restrictions (for example, use of a service account from a single IP address). In addition, Microsoft now offers the option of “MFA number matching,” which requires the user to enter a code when invoking multifactor authentication. Of course, we strongly recommend using this (since May 2023, this is also the default solution from Microsoft). Furthermore, the use of phishing-resistant MFA solutions is preferable to those that are indeed susceptible to phishing, especially for securing administrative accounts. Phishing-resistant MFA solutions include FIDO2 security keys, Windows Hello for Business and certificate authentication. Conditional accessThrough conditional access, Microsoft provides the ability to impose additional restrictions on login activities on the organization’s Microsoft tenant. Specifically for preventing an attack as described in this article, we recommend the following:
In conclusionAttackers will continuously continue to look for new ways to take over user accounts. Many security measures implemented by Microsoft and customer organizations often eventually lead to new attack methodologies with which attackers attempt to circumvent these measures. Therefore, it is important to continuously keep an environment’s security up to date and continue to use the latest capabilities and insights to prevent successful attacks as much as possible. More information
QuestionsFor questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.
|