Steeds meer bedrijven passen multifactorauthenticatie (MFA) toe als veiligheidsmaatregel om gegevens te beschermen. Wij merken dat veel van onze klanten en relaties denken dat accounts die met MFA beveiligd zijn, niet meer hackbaar zijn. Dit artikel kan als waarschuwing gelezen worden, want de ethisch hackers van BSM zijn erin geslaagd om de multifactorauthenticatie van Microsoft Office 365 te doorbreken.
Door aanvalstechnieken te combineren zijn de ethisch hackers van BSM erin geslaagd de multifactor authenticatie van Microsoft Office 365 te omzeilen. Ons ethisch hackteam had binnen vijf minuten na de start van de aanval toegang tot alle contracten en bedrijfsdata van een bedrijf dat in de financiële dienstverlening actief is, terwijl het hele bedrijf middels MFA beschermd was. Deze hacktest vond volledig op afstand plaats en had van overal uit de wereld kunnen gebeuren. De aanvalsmethode is door BSM ontwikkeld, maar als wij deze techniek om MFA te omzeilen kunnen bedenken en uitvoeren, kunnen kwaadwillende hackers dat ook. Nu steeds meer bedrijven met MFA beveiligd zijn, is de kans groter dat hackers eenzelfde soort hackmethode zullen gaan toepassen.
Wat is de oplossing?
Om de beveiliging verder te optimaliseren, zelfs nadat de MFA is ingesteld, hebben bedrijven een extra factor nodig. Vooral voor de beheerders accounts, de zogenaamde ‘privileged accounts’, is die vierde factor een must!
Welke vierde factor het best kan worden toegevoegd, hangt af van de huidige apparatuur en in geval van Cloud-diensten, de gebruikte licenties.
Wilt u weten of uw bescherming voldoende is? Dan kunt u voor uw bedrijf een opdracht geven om dit middels een MFA hacktest van BSM te controleren. Een andere mogelijkheid is dat wij van binnenuit een controle doen op de gebruikte apparatuur en instellingen.
Wat is MFA?
MFA, in het Nederlands ook wel ‘meervoudige verificatie’, is een methode om de identiteit van de gebruiker in meerdere stappen vast te stellen. Dat dit soort technieken hoofdzakelijk door technici worden gebouwd, blijkt misschien het beste uit de Wikipedia pagina over MFA, waarin voor elk onderdeel van MFA alle alternatieven van hetzelfde woord ook maar gegeven worden. Het belangrijkste misverstand is dat 2FA (twee factor authenticatie) meestal MFA genoemd wordt. Echter betekent ‘multi’ natuurlijk ‘veel’ (en niet ‘twee’)! Een andere denkfout is dat 2FA dan uit twee onderdelen zou bestaan. Ook dit is niet waar. Er zijn namelijk nog steeds systemen waar je met 1 factor in kan, bijvoorbeeld de pincode van een kluis in de sportschool. Daarnaast speelt de migratie naar de cloud een rol, want daarmee valt één van de ‘factoren’ namelijk de plaats waar je bent of binnengaat, opeens weg. Ons uitgangspunt en bijbehorende alternatieven/voorbeelden en de reden waarom wij over de vierde factor spreken is:
- 1 factor: Meestal is dit een gebruikersnaam, maar bij een kluisje in de sportschool is dit de pincode. Je zou dit 0FA kunnen noemen.
- 2 factoren: Er wordt een gebruikersnaam én een wachtwoord gevraagd. Dit is onveilig omdat wachtwoorden gestolen worden. Zie bijvoorbeeld de ‘List of databreaches’ op Wikipedia.
- 3 factoren: Dit is wat de meeste mensen Multi Factor (MFA) noemen, en wat meestal gebruikt wordt als er naast een wachtwoord een token, sms of authenticator app wordt gebruikt. Sommige bedrijven noemen dit twee-staps-verificatie.
- 4 factoren: Dit is pas bij een erg klein deel (<2%) van de bedrijven ingebouwd, maar is dus hoogst noodzakelijk om hackers voor te blijven.
Update 6 november:
Omdat veel mensen de zelfde soort vragen hadden naar aanleiding van het bovenstaande artikel, hebben volgen hieronder op de meest gestelde vragen de antwoorden:
Welke MFA was in place bij het bedrijf wat jullie hebben getest?
- In het geval van het artikel was de organisatie op alle accounts beschermd met de Microsoft authenticatie app inclusief de 30 seconden timer code.
Hebben we dit aan Microsoft gemeld?
- Microsoft kent dit probleem al langer, er zijn oplossingen voor maar die moet men dan wel aanschaffen en op de juiste wijze activeren. In de praktijk blijkt dit dus nog onvoldoende gedaan.
Wat een bla bla verhaal:
Het is een lastig dilemma als je een wake-up call wilt geven en daarnaast om veiligheidsredenen de methode niet zomaar in detail uit te schrijven. We nodigen daarom iedereen uit om ons bij vragen of twijfel een mailtje te sturen, of ons bedrijf te bellen zodat we samen kunnen bepalen of dit echt een ‘bla bla verhaal’ is of keiharde noodzaak.
Hoeveel uur zijn jullie bezig geweest met voorbereiden van deze hack?
- We waren binnen 10 uur klaar met het technische deel. Daarnaast waren we voor het projectmanagement en de begeleiding van de aanval ook tien uur bezig. Hierdoor zorgden we er bijvoorbeeld voor dat de politie niet gebeld zou worden tijdens onze aanval. Dit zou voor elke organisatie een vergelijkbare hoeveelheid tijd (en dus geld) kosten.
Werkt deze hack alleen op Microsoft?
- Nee, bijna elke cloud oplossing die werkt met een app of een token bestaat de kwetsbaarheid voor de methode die wij hebben toegepast.