image

Microsoft waarschuwt voor toename van password spraying als aanvalsvector

woensdag 27 oktober 2021, 11:58 door Redactie, 2 reacties

Het afgelopen jaar kende een toename van password spraying als aanvalsvector, organisaties doen er dan ook verstandig aan om zich hier tegen te beschermen, zo waarschuwt Microsoft. Onlangs liet het techbedrijf weten dat onder andere de Russische geheime dienst SVR van deze techniek gebruikmaakt.

Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd.

Volgens Microsoft zijn vaak applicaties het doelwit die onbeveiligd zijn en van legacy authenticatieprotocollen gebruikmaken en geen multifactorauthenticatie ondersteunen. Recentelijk richten aanvallers zich ook op applicaties die van de REST API gebruikmaken. Onder andere Exchange ActiveSync, IMAP, POP3, SMTP Auth en Exchange Autodiscover zijn het doelwit. Verder meldt Microsoft dat het een toename ziet van password spraying-aanvallen op accounts van cloudbeheerders.

Organisaties kunnen verschillende maatregelen nemen om password spraying tegen te gaan, zoals het gebruik van multifactorauthenticatie en het uitschakelen van legacy authenticatie. Verder pleit Microsoft voor het evalueren van het wachtwoordbeleid. "De toekomst is een wereld zonder wachtwoorden omdat het te vaak voorkomt dat mensen ze tussen applicaties hergebruiken of eenvoudig te ontdekken wachtwoorden kiezen", zo stelt het techbedrijf.

Aangezien beheerdersaccounts de "keys to the kingdom" zijn adviseert Microsoft om die extra te beveiligen. Zo zouden ze "cloud-only" moeten zijn en niet vanuit de Active Directory gesynchroniseerd moeten worden. Verder dient multifactorauthenticatie voor dergelijke accounts verplicht te zijn en is het nodig om accounts aan te maken waarmee in het geval van noodsituaties toegang kan worden verkregen.

Reacties (2)
28-10-2021, 13:24 door Anoniem
Ik zie het ook continue gebeuren op onze WordPress omgeving. Scriptje gemaakt om de IP's te auto-blokken. Zit in een week op al meer dan 1000 extra IP adressen in mijn iptables.

Daarnaast captcha aangezet en de .htaccess een stuk strakker ingesteld maar het blijft een pain in the a$$...
28-10-2021, 14:39 door Anoniem
wat ook heel goed werkt is een fail2ban filter die alles (via een ipset) in de ban gooit wat niet het juiste user name format heeft :)

het antwoord vanuit MS is dat alles en iedereen maar aan de MFA en in de cloud moet... mja... ik geleuf niet dat dat de oplossing gaat zijn hoor!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.