Waar multifactorauthenticatie stopt en misbruik van inloggegevens begint

Cyberbeveiliging
Waar multifactorauthenticatie stopt en misbruik van inloggegevens begint

Organisaties implementeren doorgaans multi-factor authenticatie (MFA) en gaan ervan uit dat gestolen wachtwoorden niet langer voldoende zijn om toegang te krijgen tot systemen. In Windows-omgevingen is die veronderstelling vaak verkeerd. Aanvallers compromitteren nog steeds elke dag netwerken met behulp van geldige inloggegevens. Het probleem is niet de MFA zelf, maar de dekking.

MFA wordt afgedwongen via een identiteitsprovider (IdP), zoals Microsoft Entra ID, Okta of Google Workspace, en werkt goed voor cloud-apps en federatieve aanmeldingen. Maar veel Windows-aanmeldingen zijn uitsluitend afhankelijk van Active Directory (AD)-verificatiepaden die nooit MFA-prompts activeren. Om op geloofsbrieven gebaseerde compromissen te verminderen, moeten beveiligingsteams begrijpen waar Windows-authenticatie plaatsvindt buiten hun identiteitsstapel.

Zeven Windows-authenticatiepaden waarop aanvallers vertrouwen

1. Interactieve Windows-aanmelding (lokaal of lid van een domein)

Wanneer een gebruiker zich rechtstreeks aanmeldt bij een Windows-werkstation of -server, wordt de authenticatie doorgaans afgehandeld door AD (via Kerberos of NTLM), en niet door een cloud-IdP.

In hybride omgevingen worden, zelfs als Entra ID MFA afdwingt voor cloud-apps, traditionele Windows-aanmeldingen bij systemen die lid zijn van een domein gevalideerd door lokale domeincontrollers. Tenzij Windows Hello for Business, smartcards of een ander geïntegreerd MFA-mechanisme wordt geïmplementeerd, is er geen extra factor in die stroom.

Als een aanvaller het wachtwoord van een gebruiker (of NTLM-hash) te pakken krijgt, kan hij of zij zich verifiëren bij een machine die lid is van een domein, zonder het MFA-beleid te activeren dat Software-as-a-Service-apps of federatieve eenmalige aanmelding beschermt. Vanuit het perspectief van de domeincontroller is dit een standaard authenticatieverzoek.

Tools zoals Specops Secure Access zijn van cruciaal belang om het risico op misbruik van inloggegevens in deze scenario’s te beperken. Door MFA af te dwingen voor Windows-aanmelding, maar ook voor VPN- en Remote Desktop Protocol (RDP)-verbindingen, maakt deze tool het voor aanvallers moeilijker om ongeautoriseerde toegang tot uw netwerk te verkrijgen. Dit strekt zich zelfs uit tot offline logins, die zijn beveiligd met eenmalige toegangscode-authenticatie.

2. Directe RDP-toegang die voorwaardelijke toegang omzeilt

RDP is een van de meest gerichte toegangsmethoden in Windows-omgevingen. Zelfs als RDP niet wordt blootgesteld aan internet, bereiken aanvallers het vaak via zijwaartse beweging na een aanvankelijke compromis. Een directe RDP-sessie met een server verloopt niet automatisch via cloudgebaseerde MFA-controles, wat betekent dat de aanmelding uitsluitend afhankelijk kan zijn van de onderliggende AD-referentie.

3. NTLM-authenticatie

NTLM is een verouderd authenticatieprotocol dat, ondanks dat het is verouderd ten gunste van het veiligere Kerberos-protocol, om compatibiliteitsredenen nog steeds bestaat. Het is ook een veelgebruikte aanvalsvector omdat het technieken als pass-the-hash ondersteunt.

Bij pass-the-hash-aanvallen heeft de aanvaller het leesbare wachtwoord niet nodig; in plaats daarvan gebruiken ze de NTLM-hash om te authenticeren. MFA helpt niet als het systeem de hash accepteert als identiteitsbewijs.

NTLM kan ook voorkomen in interne authenticatiestromen die organisaties mogelijk niet actief monitoren; alleen een incident of een audit zal dit aan de beveiligingsteams blootleggen.

4. Misbruik van Kerberos-tickets

Kerberos is het primaire authenticatieprotocol voor AD. In plaats van rechtstreeks wachtwoorden te stelen, stelen aanvallers Kerberos-tickets uit het geheugen of genereren ze vervalste tickets nadat ze geprivilegieerde accounts hebben gecompromitteerd. Hierdoor zijn technieken mogelijk zoals:

  • Geef het kaartje door
  • Gouden kaartje
  • Zilveren kaartje

Deze aanvallen maken langdurige toegang en zijdelingse verplaatsing mogelijk en verminderen ook de noodzaak van herhaalde aanmeldingen, waardoor de kans op detectie kleiner wordt. Deze aanvallen kunnen zelfs na het opnieuw instellen van het wachtwoord voortduren als de onderliggende inbreuk niet volledig wordt aangepakt.

5. Lokale beheerdersaccounts en hergebruik van inloggegevens

Organisaties zijn nog steeds afhankelijk van lokale beheerdersaccounts voor ondersteuningstaken en systeemherstel. Als lokale beheerderswachtwoorden op verschillende eindpunten worden hergebruikt, kunnen aanvallers één compromis escaleren naar brede toegang.

Lokale beheerdersaccounts authenticeren doorgaans rechtstreeks bij het eindpunt, waarbij de MFA-controles volledig worden omzeild. Het beleid voor voorwaardelijke toegang van Entra ID is niet van toepassing. Dit is een van de redenen waarom het dumpen van referenties zo effectief blijft in Windows-omgevingen.

6. Server Message Block (SMB)-authenticatie en laterale verplaatsing

SMB wordt gebruikt voor het delen van bestanden en externe toegang tot Windows-bronnen. Het is ook een van de meest betrouwbare zijwaartse bewegingspaden zodra een aanvaller over geldige inloggegevens beschikt. Aanvallers gebruiken gewoonlijk SMB om toegang te krijgen tot beheerdersshares zoals C$ of om op afstand met systemen te communiceren met behulp van geldige inloggegevens.

Als SMB-authenticatie wordt behandeld als intern verkeer, wordt MFA zelden op deze laag afgedwongen. Als de aanvaller over geldige inloggegevens beschikt, kan deze SMB gebruiken om snel tussen systemen te schakelen.

7. Serviceaccounts die nooit MFA activeren

Er zijn serviceaccounts om geplande taken, applicaties, integraties en systeemservices uit te voeren. Ze hebben vaak stabiele referenties, brede machtigingen en een lange levensduur.

In veel organisaties verlopen de wachtwoorden van serviceaccounts niet en worden ze zelden gecontroleerd. Ook zijn ze lastig te beveiligen met MFA omdat de authenticatie geautomatiseerd is. Vaak worden deze accounts gebruikt in oudere applicaties die geen moderne authenticatiecontroles kunnen ondersteunen.

Dit is een van de redenen waarom aanvallers al vroeg bij een inbraak de inloggegevens van de helpdesk en de toegang tot eindpuntbeheerders aanvallen.

Hoe u gaten in de Windows-authenticatie kunt dichten

Beveiligingsteams moeten Windows-authenticatie als hun eigen beveiligingsoppervlak beschouwen. Er zijn verschillende praktische stappen die beveiligingsteams kunnen nemen om de blootstelling te verminderen:

1. Dwing een sterker wachtwoordbeleid af in AD

Een sterk wachtwoordbeleid moet langere wachtwoordzinnen van 15 of meer tekens afdwingen. Wachtwoordzinnen zijn gemakkelijker te onthouden voor gebruikers en moeilijker voor aanvallers om te kraken. Sterk beleid moet ook hergebruik van wachtwoorden voorkomen en zwakke patronen blokkeren die aanvallers kunnen raden.

2. Blokkeer gecompromitteerde wachtwoorden voortdurend

Diefstal van inloggegevens is niet altijd het gevolg van aanvallen met brute kracht. Miljarden wachtwoorden zijn al beschikbaar in datasets van inbreuken die aanvallers kunnen hergebruiken bij inloggegevensaanvallen. Door gecompromitteerde wachtwoorden te blokkeren op het moment dat ze worden aangemaakt, wordt de kans kleiner dat gebruikers inloggegevens instellen die aanvallers al hebben.

3. Verminder de blootstelling aan verouderde authenticatieprotocollen

Waar mogelijk moeten organisaties NTLM-authenticatie beperken of elimineren. Beveiligingsteams moeten zichzelf ten doel stellen te begrijpen waar NTLM bestaat, dit waar mogelijk te verminderen en de controles aan te scherpen waar het niet kan worden verwijderd.

4. Controleer serviceaccounts en verminder het sluipen van privileges

Behandel serviceaccounts als identiteiten met een hoog risico. Organisaties moeten deze inventariseren, onnodige rechten verminderen, inloggegevens rouleren en accounts verwijderen die niet langer nodig zijn. Als een serviceaccount machtigingen op domeinniveau heeft, moet de organisatie ervan uitgaan dat dit het doelwit zal zijn.

Hoe Specops kan helpen

Een sterk wachtwoordbeleid en proactieve controles op bekende gecompromitteerde inloggegevens zijn twee van de meest effectieve manieren om het risico op op inloggegevens gebaseerde aanvallen te verminderen. Specops Wachtwoordbeleid helpt door flexibele wachtwoordcontroles toe te passen die verder gaan dan wat standaard beschikbaar is in Microsoft.

De functie Breached Password Protection controleert voortdurend Active Directory-wachtwoorden aan de hand van een database met meer dan 5,4 miljard blootgestelde inloggegevens, waardoor u snel wordt gewaarschuwd als blijkt dat een gebruikerswachtwoord in gevaar is. Als u wilt zien hoe Specops uw organisatie kan helpen, spreek dan met een expert of boek een demo om onze oplossingen in actie te zien.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Post-kwantumcryptografie-webinar voor beveiligingsleiders

Aan APT28 gekoppelde campagne implementeert BadPaw Loader en MeowMeow Backdoor in Oekraïne

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]