In januari 2024 ontdekte Microsoft dat ze het slachtoffer waren geworden van een hack die was georkestreerd door de Russische staatshackers Midnight Blizzard (ook wel bekend als Nobelium). Het zorgwekkende detail van deze zaak is hoe gemakkelijk het was om de softwaregigant binnen te dringen. Het was geen zeer technische hack die misbruik maakte van een zero-day-kwetsbaarheid; de hackers gebruikten een eenvoudige wachtwoordsprayaanval om de controle over een oud, inactief account over te nemen. Dit dient als een duidelijke herinnering aan het belang van wachtwoordbeveiliging en waarom organisaties elk gebruikersaccount moeten beschermen.
Wachtwoordspuiten: een eenvoudige maar effectieve aanval
De hackers hebben toegang gekregen door in november 2023 een wachtwoordspray-aanval te gebruiken. Wachtwoordsprayen is een relatief eenvoudige brute force-techniek waarbij hetzelfde wachtwoord voor meerdere accounts wordt geprobeerd. Door gebruikersaccounts te bombarderen met bekende zwakke en gecompromitteerde wachtwoorden, konden de aanvallers toegang krijgen tot een verouderd, niet-productietestaccount binnen het Microsoft-systeem, waardoor ze een eerste voet aan de grond kregen in de omgeving. Dit account had ongebruikelijke rechten of de hackers hebben deze geëscaleerd.
De aanval duurde maar liefst zeven weken, waarin de hackers e-mails en bijgevoegde documenten exfiltreerden. Deze gegevens brachten een 'zeer klein percentage' van de zakelijke e-mailaccounts in gevaar, inclusief die van het senior management en medewerkers van de cyberbeveiligings- en juridische teams. Het beveiligingsteam van Microsoft ontdekte de hack op 12 januari en ondernam onmiddellijk actie om de activiteiten van de hackers te verstoren en hen verdere toegang te ontzeggen.
Het feit dat de hackers toegang konden krijgen tot dergelijke gevoelige interne informatie benadrukt echter de potentiële schade die kan worden veroorzaakt door het compromitteren van zelfs ogenschijnlijk onbeduidende accounts. Het enige dat aanvallers nodig hebben, is een eerste steunpunt binnen uw organisatie.
Het belang van het beschermen van alle accounts
Hoewel organisaties vaak prioriteit geven aan de bescherming van geprivilegieerde accounts, laat de aanval op Microsoft zien dat elk gebruikersaccount een potentieel toegangspunt is voor aanvallers. Escalatie van bevoegdheden betekent dat aanvallers hun doelen kunnen bereiken zonder noodzakelijkerwijs een zeer bevoorrecht beheerdersaccount als toegangspunt nodig te hebben.
Het beschermen van een inactief account met weinig bevoegdheden is om verschillende redenen net zo cruciaal als het beveiligen van een beheerdersaccount met veel bevoegdheden. Ten eerste richten aanvallers zich vaak op deze over het hoofd geziene accounts als potentiële toegangspunten tot een netwerk. Inactieve accounts hebben vaker zwakke of verouderde wachtwoorden, waardoor ze gemakkelijker doelwitten zijn voor brute force-aanvallen. Eenmaal gecompromitteerd kunnen aanvallers deze accounts gebruiken om zich lateraal binnen het netwerk te verplaatsen, hun bevoegdheden te escaleren en toegang te krijgen tot gevoelige informatie.
Ten tweede worden inactieve accounts vaak verwaarloosd als het gaat om beveiligingsmaatregelen, waardoor ze aantrekkelijke doelwitten zijn voor hackers. Organisaties kunnen de implementatie van een sterk wachtwoordbeleid of meervoudige authenticatie voor deze accounts over het hoofd zien, waardoor ze kwetsbaar worden voor misbruik. Vanuit het perspectief van een aanvaller kunnen zelfs accounts met weinig bevoegdheden waardevolle toegang bieden tot bepaalde systemen of gegevens binnen een organisatie.
Verdedig je tegen wachtwoordspray-aanvallen
De Microsoft-hack dient als wake-up call voor organisaties om prioriteit te geven aan de beveiliging van elk gebruikersaccount. Het benadrukt de cruciale behoefte aan robuuste wachtwoordbeveiligingsmaatregelen voor alle accounts, ongeacht de waargenomen betekenis ervan. Door een sterk wachtwoordbeleid te implementeren, multi-factor authenticatie mogelijk te maken, regelmatige Active Directory-audits uit te voeren en voortdurend te scannen op gecompromitteerde wachtwoorden, kunnen organisaties het risico aanzienlijk verkleinen om op dezelfde manier te worden betrapt.
- Active Directory-controle: Het regelmatig uitvoeren van audits van Active Directory kan inzicht bieden in ongebruikte en inactieve accounts, evenals in andere wachtwoordgerelateerde kwetsbaarheden. Audits bieden een waardevolle momentopname van uw Active Directory, maar moeten altijd worden aangevuld met voortdurende inspanningen om de risico's te beperken. Als u geen inzicht heeft in de inactieve en verouderde gebruikersaccounts van uw organisatie, kunt u overwegen een alleen-lezen audit uit te voeren met onze gratis audittool die een interactief exporteerbaar rapport oplevert: Specops Password Auditor.
- Robuust wachtwoordbeleid: Organisaties moeten een sterk wachtwoordbeleid afdwingen dat zwakke wachtwoorden blokkeert, zoals veelgebruikte termen of toetsenbordgebruik zoals 'qwerty' of '123456'. Het implementeren van lange, unieke wachtwoorden of wachtwoordzinnen is een sterke verdediging tegen brute-force-aanvallen. Aangepaste woordenboeken die termen blokkeren die verband houden met de organisatie en branche moeten ook worden opgenomen.
- Multi-factor authenticatie (MFA): Het inschakelen van MFA voegt een authenticatie-roadblock toe die hackers moeten overwinnen. MFA fungeert als een belangrijke verdedigingslaag, maar het is de moeite waard om te onthouden dat MFA niet onfeilbaar is. Het moet worden gecombineerd met sterke wachtwoordbeveiliging.
- Gecompromitteerde wachtwoordscans: Zelfs sterke wachtwoorden kunnen in gevaar komen als eindgebruikers deze opnieuw gebruiken op persoonlijke apparaten, sites of applicaties met een zwakke beveiliging. Het implementeren van tools om uw Active Directory voortdurend te scannen op gecompromitteerde wachtwoorden kan helpen potentiële risico's te identificeren en te beperken.
Sluit voortdurend aanvalsroutes af voor hackers
De Microsoft-hack onderstreept de noodzaak voor organisaties om robuuste wachtwoordbeveiligingsmaatregelen voor alle accounts te implementeren. Een veilig wachtwoordbeleid is essentieel om ervoor te zorgen dat alle accounts, inclusief oudere, niet-productie- en testaccounts, niet over het hoofd worden gezien. Bovendien voegt het blokkeren van bekende gecompromitteerde inloggegevens een extra beschermingslaag toe tegen actieve aanvallen.
Specops Wachtwoordbeleid met Breached Password Protection biedt geautomatiseerde, voortdurende bescherming voor uw Active Directory. Het beschermt uw eindgebruikers tegen het gebruik van meer dan 4 miljard unieke bekende gecompromitteerde wachtwoorden, inclusief gegevens van zowel bekende lekken als ons eigen honeypot-systeem dat wachtwoorden verzamelt die worden gebruikt bij echte wachtwoordspray-aanvallen.
De dagelijkse update van de Breached Password Protection API, gecombineerd met continue scans voor het gebruik van die wachtwoorden in uw netwerk, staat gelijk aan een veel uitgebreidere verdediging tegen de dreiging van wachtwoordaanvallen en het risico van hergebruik van wachtwoorden. Praat vandaag nog met een expert en ontdek hoe Specops Wachtwoordbeleid bij uw organisatie zou kunnen passen.