Microsoft 365 is niet per definitie ‘kopen en klaar’. Tijdens de Hybride Tweakers Meet-up Privacy & Security op 6 november vertellen Rik van Duijn en Wesley Neelen, hackers bij Zolder.io, over het hardenen van de configuratie, het optimaliseren van de beveiliging en waarom dit zo belangrijk is.
Vier IT’ers begonnen eind 2019 een eigen bedrijf, met als doel om hun kennis over cybersecurity te gebruiken om ondernemers te helpen met het beveiligen van hun cloudomgeving. De naam werd ontleend aan hun bedrijfsruimte, gevestigd op de bovenste verdieping van een pand in Zevenbergen (Brabant). Zolder.io levert verschillende diensten, waaronder een app (Attic) die gebruikers kunnen koppelen aan hun Microsoft 365-omgeving. Het inzetten van aanvalskennis uit pentesten is heel nuttig, vindt Wesley Neelen, ethisch hacker en een van de oprichters van Zolder. “Je hoort vaak dat verdedigers maar moeten verdedigen en aanvallers moeten aanvallen, maar juist de combinatie is belangrijk. ‘Hoe kun je nu een aanval detecteren als verdediger, als je niet kunt aanvallen’, denk ik weleens.”
https://atticsecurity.com
Wesley merkt dat onder ondernemers sterk het idee leeft dat security iets is voor grote bedrijven met hoge budgetten. “Deels klopt dat ook wel. Veel security-oplossingen zijn behoorlijk duur en het gaat vaak om heel specifieke oplossingen. We kennen bijvoorbeeld een paar monitoring-oplossingen voor Office 365 die al snel duizenden euro’s per maand kosten. Voor een mkb-ondernemer is dat wel erg fors. Bij ons betaal je 20 euro per maand voor een budgetversie van Attic en 80 euro voor een premium-abonnement. Afhankelijk van wat je kiest, krijg je bepaalde checks wel of niet. Om dat duidelijk te maken, hebben we op onze website een tabel geplaatst; we proberen het zo simpel mogelijk te houden.”
De oprichters van Zolder willen een betaalbare oplossing bieden waarbij ze zich richten op de Microsoft-cloud, omdat daar nu eenmaal veel ondernemers gebruik van maken. Bovendien blijft e-mail de belangrijkste vector in security-incidenten. “Kennis van cybersecurity is voor onze klanten niet nodig en omdat we het in een app aanbieden, is het heel schaalbaar en kunnen we het toepassen bij veel bedrijven. De app geeft advies over verdacht gedrag en over het hardenen van je Microsoft-omgeving. Het kan dan gaan over iets heel simpels zoals het aanzetten van multifactorauthenticatie, maar ook om het uitschakelen van verouderde protocollen.”
Geautomatiseerde checks en fixes
Attic bestaat uit twee componenten. Ten eerste zijn er Checks. Dit zijn Powershell-scripts die periodiek draaien om de configuratie van de tenants van klanten te controleren. Daarbij treedt bij misconfiguratie vaak een fix (ook een Powershell-script) in werking. De tweede component betreft monitoring middels Azure Sentinel, dat gebruikmaakt van Microsoft. “Veel van deze logs zijn in principe gewoon gratis bij een Microsoft-abonnement; we streamen ze sowieso naar Sentinel. Daarbij moet je denken aan activiteitslogs rondom Exchange, Sharepoint en Teams. Maar er zijn meer - betaalde - logs binnen je Microsoft-abonnement en die wil je eigenlijk ook. Sign-in logs, bijvoorbeeld. Die kunnen we ook inspoelen met Azure Sentinel; we detecteren verdacht gedrag en koppelen dat terug naar de gebruiker. In principe kunnen we bijna elke check en fix geautomatiseerd laten verlopen. Dat is ook ons doel. We bieden een ticket aan en je hoeft eigenlijk alleen maar op een knop te drukken om het op te lossen. Er zijn echter ook situaties waarbij we willen dat je als gebruiker zelf even mee kunt kijken. Een verdachte situatie hoeft immers niet altijd op activiteit van cybercriminelen te wijzen. Klopt het bijvoorbeeld dat je factuur naar een extern e-mailadres gaat? Misschien heb je dat zelf zo ingesteld, maar toch is het fijn als je even een seintje krijgt en het kunt checken.”
De oprichters van Zolder hebben veel ervaring met pentesten, voor verschillende opdrachtgevers. Voor de ontwikkeling van hun nieuwe oplossing doen ze dit nog steeds. “Iets dat we vaak vinden, zijn open shares vanuit de Sharepoint-omgeving van de klant. Zo’n open Sharepoint-site wordt ook aangemaakt als gevolg van een Public Team in Microsoft Teams. Ze zijn voor iedereen binnen de organisatie toegankelijk, wat maakt dat aanvallers die eenmaal binnen zijn gekomen er heel makkelijk bij kunnen. Regelmatig staat er voor aanvallers nuttige informatie in. Wachtwoorden voor het beheer van alle telefoniesystemen bijvoorbeeld, maar ook persoonsgegevens en back-ups.”
Tijdens de Meet-up willen Wesley en Rik demonstreren welke kwetsbaarheden zij in Microsoft-omgevingen tegenkomen en wat je kunt doen om deze te voorkomen of misbruik te detecteren. “Office en Azure brengen nieuwe uitdagingen met zich mee. Vroeger werd je bijvoorbeeld als gebruiker steeds om een wachtwoord gevraagd. Maar nu heb je apps die gebruikmaken van OAuth en krijg je app-consent voor je kiezen wanneer een toepassing toegang nodig heeft tot je omgeving. Een gebruiker kan op deze manier belangrijke informatie beschikbaar stellen die aanvallers kunnen misbruiken. Met onze app helpen wij gebruikers met één klik hun app-toestemming in te stellen, zodat mensen bijvoorbeeld niet zomaar de toegang tot hun mailbox weggeven.”
Kwetsbaarheid met MFA Sweep
Een van de belangrijkste tips die beheerders van Microsoft-omgevingen sowieso kunnen krijgen, heeft betrekking op Microsofts multifactorauthenticatie (mfa). Rik: “Er is iemand die een tooltje heeft ontwikkeld, MFA Sweep, dat is gemaakt om te testen of het mogelijk is om mfa te omzeilen. Het staat ook gewoon op GitHub. Dit tooltje logt op verschillende manieren in, onder meer via verouderde protocollen die geen mfa ondersteunen. Dat betekent dat als je deze protocollen niet hebt uitgeschakeld, je gewoon kunt inloggen met een gebruikersnaam en wachtwoord, zelfs als je mfa hebt ingesteld. Wij hebben een query opgesteld om het gedrag van die tool te detecteren en te controleren of de aanval is gelukt. Vervolgens bieden we een fix aan om onder meer je legacy-authenticatie uit te zetten en de mfa-bypass onmogelijk te maken.”
Wil je meer tips over het veilig houden van je Microsoft-omgeving? Schrijf je dan in voor de Hybride Tweakers Meet-up Privacy & Security op 6 november en volg de talk van Wesley en Rik en. Meer informatie over het programma en tickets vind je hier .
Dit artikel is geen redactioneel artikel, maar een advertorial en tot stand gekomen dankzij Zolder.io en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers-events zoals Meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].