Gisteren hebben wij onderzoek gedaan onder de gebruikers van de Sentinel add-on voor Attic M365. Wij onderzochten de impact van een grootschalige bruteforce aanval gericht op Microsoft365, met FastHTTP.
Het blijkt dat sinds 7 januari meer dan de helft van onderzochte organisaties doelwit is geweest van deze aanval. In geen van de gevallen hebben de aanvallers een account weten te bemachtigen, maar wel heeft het tot geblokkeerde accounts geleid, en mogelijk dus tot verstoring voor de medewerkers in kwestie.
Wij zullen klanten in kwestie informeren via een individueel ticket op hun naam.
De aanleiding
We werden getriggerd door een artikel op Bleeping Computer naar aanleiding van onderzoek van Speartip: https://www.speartip.com/fasthttp-used-in-new-bruteforce-campaign/
Wat is FastHTTP?
Dit is open source software zonder kwaadaardig doel op zichzelf. Het dient om HTTP verkeer te versnellen, maar is blijkbaar ook nuttig voor aanvallers die heel snel veel verzoeken naar een API zoals die van Entra ID willen sturen.
Wat is een Bruteforce aanval?
In een bruteforce aanval gebruikt een aanvaller domme kracht om een wachtwoord te kraken: door simpelweg een lange lijst van combinaties aan letters en cijfers te proberen, komt uiteindelijk eens de juiste combinatie voorbij.
Hoe werkt dit met Microsoft365?
De AzureAD API is wereldwijd toegankelijk en vraagt om authenticatie. Door een bruteforce aanval op die API te richten, kan een aanvaller door succesvol te authenticeren vaststellen dat het gegokte wachtwoord correct is en zo het account overnemen.
Gevolgen voor u
Uitgaande van het gegevens dat de aanval meer dan de helft van organisaties heeft bereikt, is de kans dus groot dat u ook getroffen bent. En het is ook niet uitgesloten dat vergelijkbare aanvallen vaker worden uitgevoerd.
Account Lockouts (21%)
Wanneer iemand meerdere malen een verkeerd wachtwoord invult, wordt diens account geblokkeerd. Het gevolg van een bruteforce kan in die zin dus al heel verstorend zijn voor individuele medewerkers. Speartip zegt dat dit in 21% van de gevallen het gevolg was van bruteforce pogingen.
Account overname (10%)
En als de bruteforce WEL slaagt, ofwel de aanvaller verkrijgt daadwerkelijk het juiste wachtwoord, is het mogelijk dat het account in kwestie wordt overgenomen. Speartip heeft dit in een kleine 10% van de gevallen zien gebeuren, maar wij kunnen dat niet staven vanuit ons eigen onderzoek.
MFA Fatigue (10%)
Wanneer MFA is ingeschakeld zou een succesvolle aanmelding kunnen leiden tot een MFA prompt aan de gebruiker. Die mogelijk door de snelheid en hoeveelheid pogingen daar vermoeid of geirriteerd van raakt en wellicht zo tot het punt komt om de aanmeldpoing te accepteren, althans dat hoopt de aanvaller. Microsoft heeft allerlei maatregelen getroffen om dit te vermijden maar het zal op zijn minst vervelend zijn voor de medewerkers.
Wat te doen?
Als u de hulp van Attic wenst tegen dit soort aanvallen, dan heeft u de Sentinel add-on voor onze Microsoft365 dienstverlening nodig. Deze kunt u via de Azure Marketplace verkrijgen.
Binnen die dienstverlening is het nodig om de Sign-in Logs als databron toe te voegen, hetgeen voor de opslag bij Microsoft extra kosten met zich meebrengt, maar die zijn gering en zijn het dubbel en dwars waard voor onderzoek achteraf naar malafide inlogpogingen.
Als u zelf onderzoek wilt doen, kunt u deze stappen volgen:
- Log in op entra.microsoft.com
- Ga naar Users > Sign-in Logs
- Pas het volgende filter toe. Client app: “Other Clients”
Dit levert mogelijk false positives op, maar het veld User Agent onder Basic Information kan gebruikt worden voor confirmatie: de user agent zal “fasthttp” bevatten.
Speartip heeft ook een PowerShell script gemaakt om de auditlogs te inspecteren op fasthttp. https://www.speartip.com/fasthttp-used-in-new-bruteforce-campaign/
