Advertorial

Door Tweakers Partners

Pentesters Zolder.io: “Harden en monitor je Microsoft-omgeving”

28-10-2021 • 12:00

27 Linkedin

Microsoft 365 is niet per definitie ‘kopen en klaar’. Tijdens de Hybride Tweakers Meet-up Privacy & Security op 6 november vertellen Rik van Duijn en Wesley Neelen, hackers bij Zolder.io, over het hardenen van de configuratie, het optimaliseren van de beveiliging en waarom dit zo belangrijk is.

Vier IT’ers begonnen eind 2019 een eigen bedrijf, met als doel om hun kennis over cybersecurity te gebruiken om ondernemers te helpen met het beveiligen van hun cloudomgeving. De naam werd ontleend aan hun bedrijfsruimte, gevestigd op de bovenste verdieping van een pand in Zevenbergen (Brabant). Zolder.io levert verschillende diensten, waaronder een app (Attic) die gebruikers kunnen koppelen aan hun Microsoft 365-omgeving. Het inzetten van aanvalskennis uit pentesten is heel nuttig, vindt Wesley Neelen, ethisch hacker en een van de oprichters van Zolder. “Je hoort vaak dat verdedigers maar moeten verdedigen en aanvallers moeten aanvallen, maar juist de combinatie is belangrijk. ‘Hoe kun je nu een aanval detecteren als verdediger, als je niet kunt aanvallen’, denk ik weleens.”

https://atticsecurity.com

Wesley merkt dat onder ondernemers sterk het idee leeft dat security iets is voor grote bedrijven met hoge budgetten. “Deels klopt dat ook wel. Veel security-oplossingen zijn behoorlijk duur en het gaat vaak om heel specifieke oplossingen. We kennen bijvoorbeeld een paar monitoring-oplossingen voor Office 365 die al snel duizenden euro’s per maand kosten. Voor een mkb-ondernemer is dat wel erg fors. Bij ons betaal je 20 euro per maand voor een budgetversie van Attic en 80 euro voor een premium-abonnement. Afhankelijk van wat je kiest, krijg je bepaalde checks wel of niet. Om dat duidelijk te maken, hebben we op onze website een tabel geplaatst; we proberen het zo simpel mogelijk te houden.”

De oprichters van Zolder willen een betaalbare oplossing bieden waarbij ze zich richten op de Microsoft-cloud, omdat daar nu eenmaal veel ondernemers gebruik van maken. Bovendien blijft e-mail de belangrijkste vector in security-incidenten. “Kennis van cybersecurity is voor onze klanten niet nodig en omdat we het in een app aanbieden, is het heel schaalbaar en kunnen we het toepassen bij veel bedrijven. De app geeft advies over verdacht gedrag en over het hardenen van je Microsoft-omgeving. Het kan dan gaan over iets heel simpels zoals het aanzetten van multifactorauthenticatie, maar ook om het uitschakelen van verouderde protocollen.”

Geautomatiseerde checks en fixes

Attic bestaat uit twee componenten. Ten eerste zijn er Checks. Dit zijn Powershell-scripts die periodiek draaien om de configuratie van de tenants van klanten te controleren. Daarbij treedt bij misconfiguratie vaak een fix (ook een Powershell-script) in werking. De tweede component betreft monitoring middels Azure Sentinel, dat gebruikmaakt van Microsoft. “Veel van deze logs zijn in principe gewoon gratis bij een Microsoft-abonnement; we streamen ze sowieso naar Sentinel. Daarbij moet je denken aan activiteitslogs rondom Exchange, Sharepoint en Teams. Maar er zijn meer - betaalde - logs binnen je Microsoft-abonnement en die wil je eigenlijk ook. Sign-in logs, bijvoorbeeld. Die kunnen we ook inspoelen met Azure Sentinel; we detecteren verdacht gedrag en koppelen dat terug naar de gebruiker. In principe kunnen we bijna elke check en fix geautomatiseerd laten verlopen. Dat is ook ons doel. We bieden een ticket aan en je hoeft eigenlijk alleen maar op een knop te drukken om het op te lossen. Er zijn echter ook situaties waarbij we willen dat je als gebruiker zelf even mee kunt kijken. Een verdachte situatie hoeft immers niet altijd op activiteit van cybercriminelen te wijzen. Klopt het bijvoorbeeld dat je factuur naar een extern e-mailadres gaat? Misschien heb je dat zelf zo ingesteld, maar toch is het fijn als je even een seintje krijgt en het kunt checken.”

De oprichters van Zolder hebben veel ervaring met pentesten, voor verschillende opdrachtgevers. Voor de ontwikkeling van hun nieuwe oplossing doen ze dit nog steeds. “Iets dat we vaak vinden, zijn open shares vanuit de Sharepoint-omgeving van de klant. Zo’n open Sharepoint-site wordt ook aangemaakt als gevolg van een Public Team in Microsoft Teams. Ze zijn voor iedereen binnen de organisatie toegankelijk, wat maakt dat aanvallers die eenmaal binnen zijn gekomen er heel makkelijk bij kunnen. Regelmatig staat er voor aanvallers nuttige informatie in. Wachtwoorden voor het beheer van alle telefoniesystemen bijvoorbeeld, maar ook persoonsgegevens en back-ups.”

Tijdens de Meet-up willen Wesley en Rik demonstreren welke kwetsbaarheden zij in Microsoft-omgevingen tegenkomen en wat je kunt doen om deze te voorkomen of misbruik te detecteren. “Office en Azure brengen nieuwe uitdagingen met zich mee. Vroeger werd je bijvoorbeeld als gebruiker steeds om een wachtwoord gevraagd. Maar nu heb je apps die gebruikmaken van OAuth en krijg je app-consent voor je kiezen wanneer een toepassing toegang nodig heeft tot je omgeving. Een gebruiker kan op deze manier belangrijke informatie beschikbaar stellen die aanvallers kunnen misbruiken. Met onze app helpen wij gebruikers met één klik hun app-toestemming in te stellen, zodat mensen bijvoorbeeld niet zomaar de toegang tot hun mailbox weggeven.”

Kwetsbaarheid met MFA Sweep

Een van de belangrijkste tips die beheerders van Microsoft-omgevingen sowieso kunnen krijgen, heeft betrekking op Microsofts multifactorauthenticatie (mfa). Rik: “Er is iemand die een tooltje heeft ontwikkeld, MFA Sweep, dat is gemaakt om te testen of het mogelijk is om mfa te omzeilen. Het staat ook gewoon op GitHub. Dit tooltje logt op verschillende manieren in, onder meer via verouderde protocollen die geen mfa ondersteunen. Dat betekent dat als je deze protocollen niet hebt uitgeschakeld, je gewoon kunt inloggen met een gebruikersnaam en wachtwoord, zelfs als je mfa hebt ingesteld. Wij hebben een query opgesteld om het gedrag van die tool te detecteren en te controleren of de aanval is gelukt. Vervolgens bieden we een fix aan om onder meer je legacy-authenticatie uit te zetten en de mfa-bypass onmogelijk te maken.”

Wil je meer tips over het veilig houden van je Microsoft-omgeving? Schrijf je dan in voor de Hybride Tweakers Meet-up Privacy & Security op 6 november en volg de talk van Wesley en Rik en. Meer informatie over het programma en tickets vind je hier .

Dit artikel is geen redactioneel artikel, maar een advertorial en tot stand gekomen dankzij Zolder.io en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers-events zoals Meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Reacties (27)

Wijzig sortering
Ben wel benieuwd wat voor checks Attic biedt naast de zaken die ook gecheckt worden door de Microsoft Secure Score.
Goeie vraag. Full Disclosure ben een van de oprichters dus dan weet je waar ik vandaan kom.

Onze oplossing heeft checks en fixes. Dat wil zeggen we controleren (zoals secure score doet) maar kunnen ook geautomatiseerd fixen. De klant krijgt een push notificatie met de vraag of een bepaalde wijziging gewenst is. Zo ja voeren we dat automatisch door.

We maken voor een aantal checks ook gebruik van secure score en breiden daarop uit. We monitoren bijv actief of auditlogging nog wel juist ingesteld staat. Of alarmeren zodra een nieuwe beheerder wordt toegevoegd. Of juist een externe gebruiker die een beheer rol toegewezen krijgt.

Secure score zit met name op hardening, wij doen hardening en monitoring combineren. Straks ook een uitbreiding mogelijk waarbij we de logging naar Azure Sentinel streamen (SIEM oplossing). De Siem staat binnen je eigen Azure tenant, wij controleren op verdacht gedrag.


Voor een overzicht van alle checks zie https://support.myattic.a...elijk-M365-Budget-Premium
Wat ik mis in dit soort pen-test bedrijven is hoe ze omgaan met de juridische valkuilen van het opdracht contract. Pen-testen is ook een kwestie van goede afspraken maken wat je wanneer test, op welke wijse. Wat je doet als je gevoelige zaken tegenkomt. Indekken tegen vervolgschade door onbedoelde effecten tijdens het pen-testen (b.v. de hele afdeling ICT in paniek routers uitschakelend want "hackers"). Beveiligers die de politie bellen als iemand van red-team een site verkenning doet.
Ik ken eigenlijk geen pentest partij die hier NIET op voorhand rekening mee houdt en afspraken over maakt...?
Waarom zou een inbreker de beste zijn in het beveiligen van een object ?
Waarom? Omdat een inbreker precies weet 'hoe het moet'. Een inbreker kijkt met andere ogen. Niet-inbrekers horen wel hoe inbrekers werken maar hebben het nog niet ervaren. Ik lees rond zomervakantie trucjes van bijv. plakband die je op voordeuren plakken of krijtstreepjes met codes die men her en der aanbrengt, maar heb er geen ervaring mee, daarnaast zou ik me wellicht verdacht gedragen en zal een goede inbreker ook weten hoe niet op te vallen en hoe zijn/haar sporen te wissen. Wil niet zeggen dat je geen goede pentester kunt worden door nooit hacker/cracker geweest te zijn, maar denk niet dat je echt 'hardened' wordt zonder die blackhat ervaring. Of kijk ik teveel McGuyver e.d.? Meeste lui zijn tegenwoordig natuurlijk ook vooral scriptkiddies. Als je kijkt op 'anti-scammers' op Youtube (en zelfs bij Kees van der Spek z'n huishacker) dan zie je dat ze wel goed zijn in stammen maar dat anti-scammers vrij eenvoudig die scripts tegen hen weten te gebruiken omdat de scammers eigenlijk nauwelijks technische kennis en kunde hebben.
Een inbreker kan met een baksteen vrijwel alle huizen openen, het is niet zo moeilijk om een gaatje of zwakpunt te vinden.

Structurele maatregelen te nemen om een organisatie waar honderden/duizenden mensen werken met meervoud aan aanvalsoppervlak te beschermen heb je aan een inbreker/pen-tester niets.

Voor security engineer is pentesten basis kennis en uitgangspunt maar voor structureel beschermen conformeren aan wet- en regelgeving, organisatie compliancy en risico's af te dekken heb je aan pentesters niets.

Er is verwachting dat inbreker je kan beschermen terwijl een inbreker alleen maar bezig is om zo snel mogelijk binnen te komen en met de zoveel mogelijk weg te komen.
Sure de fysieke hack is altijd de hack... Als ik mijn hand op de muis kan zetten ben ik al binnen.
De inbreker die een smash and grab doet zal snel gevonden worden, diegene die 7 maanden de tijd neemt om onopgemerkt 120K mee te nemen zal er mee weg kunnen komen (Iets met een diamant roof van 5+ jaar terug). Dit is waarom je de ervaren inbreker niet voor 1 week inhuurt maar voor jaren.
Ik raad niemand aan om voor opvolgende pentesten dezelfde club te gebruiken.

Bovendien raad ik iedereen aan om paaseieren te verstoppen zodat je naast detectie hebt ook weet of ze e wel grondig te werk zijn gegaan en niet gewoon zoals veel "pen testers" hun nessus scanner opstarten en niet veel meer dan opleuken rapportage doen.
Openen ja, maar niet onopgemerkt. En dat doet er toe.

Er is bij mij twee keer ingebroken toen ik nog student was. Een keer door twee jochies met bontkraag en opgeschoren kapsel die met een hamer een raam insloegen. De andere keer heeft iemand stilletjes ingebroken via een super klein kantelraampje, de stapel afwas onder het raam weten vermijden (respect) en had een vluchtroute veilig gesteld door eenmaal binnen meteen een deur van het slot te halen.

Raad eens welke van deze twee pogingen geslaagd was en welke eindigde in een arrestatie ;)
Als je iets niet opmerkt heb je een structureel probleem en die kan pentester niet voor je oplossen, iets met competenties en policies.
Het gaat er in geval van een inbraak (electronisch of fysiek) om om lang genoeg onopgemerkt te blijven om de buit binnen te halen. Dat iets weg/aangepast is kom je vanzelf achter.
Een pentester kan wel een onbekende zwakke plek blootleggen.
Waarom is het kapsel en de kleding relevant te benoemen? Suggestief?
Meer bedoeld om aan te geven dat het om amateuristische gelegenheidsdieven gingen dan te insinueren dat alle jochies die voldoen aan dergelijke omschrijving crimineel zijn. Desondanks valide punt, komt discriminerend over als ik het zo terug lees. Mijn excuus.
Dat bedoel ik. Er wordt vrijwel nooit over dat soort zaken geschreven in artikelen. Blijft vaak "beperkt" tot "wat" ze doen, met name de techniek en de procedures. Maar hoe voorkom je dat je ICT afdeling voorkennis heeft en dus al "op scherp" staat. Of dat je ICT afdeling niets vermoed, en er dus rare paniekreacties kunnen ontstaan met eventuele vervolgschade in het productieproces? Wie gaat die vervolgschade betalen? Dat zijn discussies die ik ook interessant vind.
Wat is er mis mee als bij een PEN-test de ICT afdeling al op scherp staat? Als er ergens een handmatige handeling/reactie verricht wordt dan kan je dat registreren. Als ze op scherp staan gaat dit wellicht sneller dan normaal, maar dan kan je als partij wel doorvragen hoe ze het in een normale (onverwachte) situatie zouden afhandelen.

Effectief kan je nog steeds de veiligheidsrisico's bepalen en dat is het doel achter de PEN-test.
Als ze op scherp staan gaat dit wellicht sneller dan normaal, maar dan kan je als partij wel doorvragen hoe ze het in een normale (onverwachte) situatie zouden afhandelen.
Het is niet representatief, vooral in grotere organisaties heb je afdelingen waarbij management vooral in goed daglicht wilt staan en daarom een onrealistisch beeld neerzetten van de dagelijkse gang van zaken.
Elk zelfrespecterende securitybedrijf heeft eerst een vrijwaringsverklaring. Daar zijn standaard templates voor.
Helemaal met je eens. Stel de hypotetische situatie voor dat je als beheerder merkt dat op server X plotseling alle bestanden benaderd worden met hoge disk activity. Is het dan een echte hack? Zijn de pen-testers bezig? Wordt op dat moment alle bestanden versleuteld? Moet je dan als de bliksem de stekker van de pc lostrekken om vervolgschade te voorkomen?

Hoe ga je als pen-test bedrijf hiermee om? Of als opdrachtgever.

Maar goed, mijn 2 centen.
Dat staat allemaal in de werkwijze en het plan van aanpak beschreven....
Ik mag hopen dat pentesters niet je bestanden gaan versleutelen. En als een pentester zo ver is dat hij al je bestanden kan benaderen, is diegene vaak toch al vrij ver bezig.

Het is alleen maar goed als een beheerder dan toch een alertje krijgt. Met de juiste logging kom je daar vervolgens dan echt wel uit met het beveiligingsbedrijf.

Zoals al geopperd zijn dit soort zaken echter al netjes afgebakend en wordt er ook vooral een scope besproken.
Ik heb een aantal jaar als pentester gewerkt, inmiddels stuur ik er een paar aan vanuit onze organisatie. Je stemt altijd alles af met de betrokkenen, of als het een derde partij is verlang je van de klant dat zij hun beheerder informeren. Ik heb een keer meegemaakt dat de beheerder de diensten offline gooide doordat wij verdacht bezig waren. Dit zorgde voor misschien een half uurtje vertraging (en veel boze mensen op de vloer omdat ze nergens bij konden), maar dit is altijd een risico van een pentest. Dat is onder andere wat in een vrijwaringsverklaring staat.

Er zijn, helaas, genoeg beheerders die niet geïnformeerd worden EN ook niets doorhebben, in iedere geval niet op tijd. Dus naast dat een pentest kwetsbaarheden inventariseert, legt het ook vaak bloot dat beheerders eigenlijk niet zo goed in het beheren en reageren zijn.
Aangaande Azure (waar ook Office 365 op draait) mag Microsoft zelf ook weleens goed naar hun default security gerelateerde configuratie/opt-in's kijken van hun native componenten. :Y)

[Reactie gewijzigd door Falcon op 28 oktober 2021 13:03]

Iets meer context zou wel interessant zijn.
Standaard worden er best al veel headers zichtbaar op je publieke webapp bijv. Denk aan X-headers en bijv. niet standaard CSP header.
Gaat er weleens iets mis met automatisch fixen? Een change kan toch weleens dingen kapotmaken?
Dat kan en het gebeurt soms ook wel. Met name waar het gaat om uitschakelen van legacy authenticatie of afdwingen van mfa kom je voor uitdagingen te staan. In dat geval proberen we op voorhand te kijken wat mogelijk stuk gaat. En gelukkig kunnen alle fixes snel terug gedraaid worden.

Op dit item kan niet meer gereageerd worden.


Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers is samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer onderdeel van DPG Media B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee