Zo bemachtigt een aanvaller een Office 365-account

Aanvallers hebben een grote trukendoos om je bedrijf te belagen, maar het begint altijd met het verzamelen van informatie. Als ze weten wie ze voor zich hebben en welke rol hun doelwitten hebben in de organisatie, kunnen ze een succesvolle phishingactie opzetten.

Voormalig hacker nu informatiebeveiliger Kevin Mitnick zou zijn begonnen met een Who's Who, een soort Gouden Gids met informatie over bedrijfseigenaren. Tegenwoordig hebben we toegang tot een veel gemakkelijker openbare database: LinkedIn. Dit sociale netwerk is vaak een goed beginpunt om een organisatie in kaart te brengen, een bron van gebruikersnamen en e-mailadressen, en er zijn tools om deze informatie overzichtelijk in kaart te brengen.

Office 365 en LinkedIn scrapen

Volgens het open source informatiebeveiligingsoverzicht OSINTframework, zijn er verschillende tools voor aanvallers om informatie van LinkedIn te scrapen. Software als LinkedInt, ScrapeIn en InSpy zorgen ervoor dat een malafide hacker een lijst van e-mailadressen kan achterhalen die gekoppeld zijn aan een domein. Als hij of zij deze heeft, kan er worden begonnen met netwerkinfiltratie.

Een andere tool richt zich specifiek op Office 365. Met office365usernum kan iemand een lijst mogelijke gebruikersnamen proberen om te zien of er een respons is van de server. Aangezien veel accounts beginnen met het e-mailadres, kan de mogelijke aanvaller een lijst adressen samenstellen vanuit sociale bronnen en deze gebruiken om te zien of er een gebruikersaccount bestaat. De tool stuurt een opdracht naar de activesync-service en afgaand op de respons wordt bepaald of de gebruikersnaam bestaat of niet. Zodra er geldige accounts zijn gevonden, kan de gebruiker van de tool een lijst maken met accounts die kunnen worden benaderd voor een gerichte aanval.

De aanvallers kunnen vervolgens een brute force-methode proberen om binnen te komen of, omdat de meeste diensten dit tegenwoordig opmerken, de combinatie van gebruikers en e-mailadressen inzetten voor phisingmails richting gebruikers die credentials hebben voor het bedrijfsnetwerk. De tool geeft de aanvaller een beeld van accounts die geen 2FA gebruiken en andere zwakke schakels in de organisatie. Gedeelde postvakken die worden gebruikt voor werkprocessen, neem een adres waarop facturen binnenkomen, worden minder snel gemonitord door gebruikers, hebben vaak geen sterke wachtwoorden of multifactor-authenticatie en zijn vaak een zwakke schakel waar snoodaards zich op richten om wachtwoorden te brute-forcen.

Office 365-aanvallen voorkomen

Volgens Microsoft is deze aanvalsmethode om gebruikers te achterhalen geen kwetsbaarheid, maar een feature van activesync. Er is dan ook geen manier om deze service uit te schakelen, zodat hij niet meer reageert op verzoeken. Wel kun je waarschuwingen instellen, zodat je het ziet als een inlogpoging een paar keer in een kort tijdbestek faalt, een veeg teken dat iemand je netwerk in kaart probeert te brengen.

Phising-aanvallen zijn zo vaak de manier om accounts aan te vallen, dat consultants die accounts van andere klanten beheren vaak het doelwit zijn geweest. Sinds gisteren (1 augustus) vereist Microsoft om die reden dat partners en consultants die accounts beheren multifactor-authenticatie hebben ingesteld. Als je met partijen werkt die je Office 365-implementatie ondersteunen, zorg er dan voor dat ze op de hoogte zijn van dit nieuwe mandaat en werken aan het dichttimmeren van de toegang tot jouw netwerk. Zorg er ook voor dat ze Basic Authentication hebben uitgeschakeld.

Op het beveiligingscongres Black Hat in Las Vegas geeft Microsoft-ontwikkelaar Mark Morowczynski samen met Trimarc-CTO Sean Metcalf volgende week een presentatie over aanvallen en verdedigen van Office 365 en Azure AD. Ze staan stil bij een aantal veelvoorkomende aanvalsmethoden die worden ingezet tegen Microsofts cloud, inclusief password-spraying. Dat is een methode waarbij een wachtwoord een voor een op alle accounts afzonderlijk wordt geprobeerd, voordat een tweede wachtwoord wordt geprobeerd op alle accounts. Het is een langzamer proces dat diverse brute force-blokkades omzeilt. US-CERT waarschuwde vorig jaar voor de opkomst van password-spraying.

Verder heeft Microsoft een uitgebreide blogpost over de acties die je kunt ondernemen om je te beveiligen tegen password-spraying. Er zijn meer posts op het web over hetzelfde, maar ze komen allemaal neer op deze algemene adviezen: dwing multifactor-authenticatie af, wijzig je wachtwoordbeleid (werk met een blacklist en dwing langere wachtwoorden af) en licht gebruikers voor, zodat ze geen zwakke wachtwoorden meer kiezen die makkelijk worden geraden.

De gebruiker is een zwakke schakel, dus probeer te denken als een aanvaller om te bepalen hoe je ervoor zorgt dat je eindgebruiker beter bestand is tegen een aanval.

Related:

Copyright © 2019 IDG Communications, Inc.

  
Shop Tech Products at Amazon